Закрыто Прошу помочь удалить майнер (WindowsTask в ProgramData)

Статус
В этой теме нельзя размещать новые ответы.
T

takoyfail

Новый пользователь
Сообщения
5
Реакции
0
Приветствую! Собственно, словил майнер. Dr web не чистит. Диспетчер задач закрывается через несколько минут, сайты с антивирусами закрывают браузер, папка ProgramData при открытии также закрывается. Установка антивирусов блокируется "Отсутствием прав". Вычистил всё из реестра, но это конечно же не помогло. Прошу помощи у вас.
Вкладка с автологгером закрывает браузер.
AVZ закрывается сразу после открытия.

Можете для начала дать ссылку на автологгер на облако или как то иначе?
 
Пролечитесь сначала этим AV block remover (AVbr)
Если не будет запускаться, там в описании написано, что делать. Лог работы приложите.
А потом уже логи по правилам Автологером.
 
Скачиваются md5 файлы. Так и должно быть? Как их запустить?
 
Скачать утилиту можно даже через телефон. Перенести на компьютер, только не на Рабочий стол и не в папку Загрузки, запустить и по завершении прислать всё, что от Вас просили
 
Теперь в обычном режиме запустите Autologger и пришлите архив с его логами
 
Профиксите в HijackThis
Код: 
O4 - HKCU\..\StartupApproved\Run: [Opera Browser Assistant] = C:\Users\пк\AppData\Local\Programs\Opera\assistant\browser_assistant.exe (file missing) (2023/01/22)
O4 - MountPoints2: HKCU\..\{f95a7370-3b99-11ec-ad2d-00d861f7b917}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4-32 - HKLM\..\Run: [TeamsMachineInstaller] = C:\Program Files\Teams Installer\Teams.exe --checkInstall --source=PROPLUS (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Отправить в OneNote: (default) = D:\Офис\Office16\ONBttnIE.dll (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = D:\Офис\Office16\EXCEL.EXE (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks: (disabled) BlueStacksHelper - D:\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Tasks: \System\SystemCheck - C:\Users\пк\AppData\Roaming\Microsoft\Windows\reaItek.exe -SystemCheck (file missing)
O22 - Tasks: OneDrive Per-Machine Standalone Update Task - C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: OneDrive Reporting Task-S-1-5-21-63147033-1524988339-3093320448-1003 - C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: (damaged) update-S-1-5-21-63147033-1524988339-3093320448-1001 - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (user missing) (sign: 'OOO Lightshot')
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - D:\Офис\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - D:\Офис\Office16\msoia.exe scan upload (file missing)
O22 - Tasks_Migrated: AAct - C:\Windows\AAct_Tools\AAct_x64.exe /win=act (file missing)
O22 - Tasks_Migrated: Adobe Acrobat Update Task - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (sign: 'Adobe Inc.')
O22 - Tasks_Migrated: BlueStacksHelper - D:\Games\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Tasks_Migrated: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (sign: 'Google LLC')
O22 - Tasks_Migrated: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (sign: 'Google LLC')
O22 - Tasks_Migrated: KMSAuto - C:\WINDOWS\KMSAuto.exe /ofs=act (file missing)
O22 - Tasks_Migrated: Opera scheduled assistant Autoupdate 1589454493 - C:\Users\пк\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\пк\AppData\Local\Programs\Opera\assistant" $(Arg0) (sign: 'Opera Norway AS')
O22 - Tasks_Migrated: Opera scheduled Autoupdate 1589454491 - C:\Users\пк\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (sign: 'Opera Norway AS')
O22 - Tasks_Migrated: update-S-1-5-21-63147033-1524988339-3093320448-1001 - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (sign: 'OOO Lightshot')
O22 - Tasks_Migrated: update-sys - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (sign: 'OOO Lightshot')
O22 - Tasks_Migrated: Yandex.Stroka.User.S-1-5-21-63147033-1524988339-3093320448-1001 - C:\Users\пк\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe /logon (sign: 'YANDEX LLC')
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.3.115\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.3.115\service_update.exe --run-as-launcher (file missing)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Код: 
Голосовой помощник Алиса [20220912]-->MsiExec.exe /I{4D922459-6A2E-4E43-B7A1-86872A9078F3}
Кнопка "Яндекс" на панели задач [2020/09/23 22:42:35]-->C:\Users\пк\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Сами ставили/пользуетесь? Или навязалось при установке драйвера пака? Если не сами ставили, то деинсталируйте.

Код: 
Java 8 Update 351 (64-bit) [20221020]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180351F0}
устаревшую Java тоже деинсталируйте.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Нажмите для раскрытия...

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 13\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 14\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 15\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 8\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
C:\Users\пк\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKU\S-1-5-21-63147033-1524988339-3093320448-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
C:\Users\пк\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log:CCC93B07B0 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log_backup1:AD433BF298 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log:72C8986B20 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log_backup1:97A90964FA [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log:C40F6B9209 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log_backup1:7CC29836A6 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log:AE3C879266 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log_backup1:AF8AA3CDC1 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log:DE1448F4D7 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log_backup1:D61270D3FD [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2018.lnk:A90E8BDDFA [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Coinomi Wallet.lnk:74F8B09A1B [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
AlternateDataStreams: C:\Users\пк\Application Data:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\пк\AppData\Roaming:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\пк\AppData\Local\Temp:$DATA [16]
StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
EndBatch:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
@takoyfail, результат выполнения скрипта покажете?
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

M
  • Закрыта
Решена Поймал Backdoor:Win32/Bladabindi!ml прошу помочь удалить
Ответы
14
Просмотры
819
MEFISTO
M
V
  • Закрыта
Решена Backdoor:Win32/Bladabindi!ml прошу помочь в удалении
Ответы
13
Просмотры
2K
Virt
V
B
Решена с расшифровкой. Прошу помочь мне с расшифровкой файлов CryLock
Ответы
7
Просмотры
460
Sandor
Sandor
Назад
Сверху Снизу