Решена словил майнеры, трояны типа системных прерываний Runtime broker, COM surrogate

regist · 7 Окт 2023

Не надо заниматься оверковотингом.

Код:

AdLock Privacy Ad Blocker 1.0.0.0 [2022/08/14 16:14:40]-->"C:\Users\mS7X\AppData\Local\Package Cache\{8500a145-4642-4bc5-b5f4-d907cc5b18af}\setup-win32-bundle.exe"  /uninstall

- деинсталируйте

А также

Код:

IObit Driver Booster 9.4.0.240 [20220815]-->"C:\Program Files (x86)\IObit\Driver Booster\unins000.exe"
Java 8 Update 51 (64-bit) [20221220]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86418051F0}

Radmin VPN 1.4.1- у вас установлен или удалён?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('uNY8YKvh');
 QuarantineFile('C:\Users\mS7X\AppData\Local\Programs\AdLock\a401dd1386.msi', '');
 QuarantineFile('C:\Windows\Temp\uNY8YKvh.sys', '');
 QuarantineFileF('C:\Users\mS7X\AppData\Local\Programs\AdLock\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\mS7X\AppData\Local\Programs\AdLock\a401dd1386.msi', '64');
 DeleteFile('C:\Windows\Temp\uNY8YKvh.sys', '64');
 DeleteService('uNY8YKvh');
 DeleteFileMask('C:\Users\mS7X\AppData\Local\Programs\AdLock\', '*', true);
 DeleteDirectory('C:\Users\mS7X\AppData\Local\Programs\AdLock\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

quasar · 7 Окт 2023

вот логи,по симптомам не уверен,WMI provider host - что это? раньше его небыло,так же runtime broker,com surrogate так же в диспейчере задачь есть

quasar · 7 Окт 2023

akok написал(а):
Проверяйте симптомы + сделайте свежий комплект логов FRST, посмотрю, не пропустил ли чего

quasar · 7 Окт 2023

regist написал(а):
Не надо заниматься оверковотингом.

Код:

AdLock Privacy Ad Blocker 1.0.0.0 [2022/08/14 16:14:40]-->"C:\Users\mS7X\AppData\Local\Package Cache\{8500a145-4642-4bc5-b5f4-d907cc5b18af}\setup-win32-bundle.exe" /uninstall

- деинсталируйте

А также

Код:

IObit Driver Booster 9.4.0.240 [20220815]-->"C:\Program Files (x86)\IObit\Driver Booster\unins000.exe" Java 8 Update 51 (64-bit) [20221220]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86418051F0}

Radmin VPN 1.4.1- у вас установлен или удалён?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:

begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('uNY8YKvh'); QuarantineFile('C:\Users\mS7X\AppData\Local\Programs\AdLock\a401dd1386.msi', ''); QuarantineFile('C:\Windows\Temp\uNY8YKvh.sys', ''); QuarantineFileF('C:\Users\mS7X\AppData\Local\Programs\AdLock\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\mS7X\AppData\Local\Programs\AdLock\a401dd1386.msi', '64'); DeleteFile('C:\Windows\Temp\uNY8YKvh.sys', '64'); DeleteService('uNY8YKvh'); DeleteFileMask('C:\Users\mS7X\AppData\Local\Programs\AdLock\', '*', true); DeleteDirectory('C:\Users\mS7X\AppData\Local\Programs\AdLock\'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Имя карантин-а(ов) сообщите в теме:
2023.10.07_quarantine_fe5a474e9e660f213bf54426f5e9c134.zip,радмин впн был удален,подскажите как сейчас деинсталировать то что вы сказали,все файлы которые я хочу удалить,просто пропадают и не перемещаются в карзину

akok · 7 Окт 2023

логи frst собирали до того, как выполнили рекомендации @regist?

quasar · 7 Окт 2023

akok написал(а):
логи frst собирали до того, как выполнили рекомендации @regist?

да,до того,но полностью выполнить не могу тк толком не понимаю что сделать

akok · 8 Окт 2023

тогда сориентируйте меня где, что сделали, чтоб наугад рекомендации не давать

quasar · 8 Окт 2023

делал все кроме последней рекомендации regist*a с удалением

akok · 8 Окт 2023

Понял, тогда выполняйте его рекомендацию, ну и свежий лог Autologgerа в придачу.

Sandor · 9 Окт 2023

quasar написал(а):
толком не понимаю что сделать

Перечисленные программы следует деинсталлировать.
Пуск -> Параметры (шестеренка) -> Приложения.
Станьте на указанную строку и нажмите "Удалить".

quasar · 9 Окт 2023

рекомендацию выполнил,карантин скинул (2023.10.07_quarantine_fe5a474e9e660f213bf54426f5e9c134.zip),вот новые логи

Sandor · 9 Окт 2023

Также деинсталлируйте

IObit Driver Booster 9.4.0.240

После этого удалите старые и соберите новые логи FRST.txt и Addition.txt
Инструкция в этом сообщении.

quasar · 9 Окт 2023

невозможно открыть файл c\program files(x86)\iobit\driver booster\unis000.dat деинсталляция невозможна.
ошибка 5:отказано в доступе(при попытке удалить iobit driver booster,по вашему совету через пуск)логи сейчас соберу

Sandor написал(а):
Также деинсталлируйте

После этого удалите старые и соберите новые логи FRST.txt и Addition.txt
Инструкция в этом сообщении.

Sandor · 9 Окт 2023

Что не удаляется стандартно, удаляйте принудительно через Geek Uninstaller

quasar · 9 Окт 2023

логи

quasar · 9 Окт 2023

Sandor написал(а):
Что не удаляется стандартно, удаляйте принудительно через Geek Uninstaller

сделал

Sandor · 9 Окт 2023

Только нужно было сначала удалить, потом собрать логи. Переделайте их, пожалуйста.

quasar · 9 Окт 2023

да,все удалил,спасибо,еще,можете подсказать пожалуйста почему появилось куча рандомных процессов(изоляция графов аудиоустройста,system,диспейчер окон рабочего стола,процесс исполнения клиента-сервера) которых раньше не было и они грузят цп,системные прерывания так вообще когда открываю 80-90процентов грузят(прикрепил скрины)

Sandor написал(а):
Получилось?

Sandor · 9 Окт 2023

Это всё нормальные процессы.

Sandor написал(а):
нужно было сначала удалить, потом собрать логи. Переделайте их, пожалуйста.

Ждём повторные логи.

quasar · 9 Окт 2023

вот новые

Решена словил майнеры, трояны типа системных прерываний Runtime broker, COM surrogate

regist

гоняюсь за туманом

quasar

Участник

Вложения

quasar

Участник

quasar

Участник

akok

quasar

Участник

akok

quasar

Участник

akok

Sandor

quasar

Участник

Вложения

Sandor

quasar

Участник

Sandor

quasar

Участник

Вложения

quasar

Участник

Sandor

quasar

Участник

Sandor

quasar

Участник

Вложения

Похожие темы