Решена Словил троян или майнер который закрывает программы

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Нет файла)
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {77D0DF96-10E0-4A40-BBC8-A24D44CAA3DD} - System32\Tasks\CCleanerSkipUAC => "C:\Program Files\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://find-it.pro/?utm_source=distr_m
  FF Notifications: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail-notification.info; hxxps://zarabotok-online.xyz; hxxps://supertopfreegames.com; hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://mnthor.xyz
  FF HomepageOverride: Mozilla\Firefox\Profiles\nahd6ha2.default -> Enabled: homepage@mail.ru
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2020-12-17] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iepoegkaoeljnbhagabakjodgpfniimo
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: System Profile -> cdn
  C:\Users\user\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
  C:\Users\user\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKU\S-1-5-21-3483602661-1754823105-4190519746-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aeeninnnlhgaojlolnbpljadhbionlal]
  CHR HKU\S-1-5-21-3483602661-1754823105-4190519746-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKU\S-1-5-21-3483602661-1754823105-4190519746-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKU\S-1-5-21-3483602661-1754823105-4190519746-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [moihledlmchhofenpacbhphnbnpakgmo]
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
  CHR HKLM-x32\...\Chrome\Extension: [hglcmagplhbklifejibdeldmmddbechf]
  CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
  CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  S4 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-03-03] (Adobe Inc. -> Adobe)
  S3 AIDA64Driver; \??\C:\Users\user\AppData\Local\Temp\Rar$EXa4896.43319\kerneld.x64 [X] <==== ВНИМАНИЕ
  U3 aswbdisk; отсутствует ImagePath
  2024-02-24 09:37 - 2024-02-26 20:00 - 000000000 ____D C:\Program Files (x86)\PQNaWREeZnbU2
  2024-02-24 09:37 - 2024-02-26 20:00 - 000000000 ____D C:\Program Files (x86)\HxCCxIntlmmAC
  2024-02-24 09:37 - 2024-02-26 20:00 - 000000000 ____D C:\Program Files (x86)\dSawpOhOJteWMxnsjER
  2024-02-24 09:37 - 2024-02-24 09:37 - 000000000 ____D C:\ProgramData\fCydShCXPZquDnVB
  2024-02-24 09:37 - 2024-02-24 09:37 - 000000000 ____D C:\Program Files (x86)\rtKYxtBoEkUn
  2024-02-24 08:08 - 2024-02-26 20:00 - 000000000 ____D C:\Program Files (x86)\bEorAAFRU
  2024-02-21 18:04 - 2024-02-21 18:04 - 000000000 ____D C:\Program Files (x86)\WondershareUpdate
  2024-02-21 18:03 - 2024-02-21 18:07 - 000000000 ____D C:\Users\user\AppData\Roaming\Wondershare
  2024-02-21 18:02 - 2024-02-21 20:20 - 000000000 ____D C:\ProgramData\Wondershare
  2024-02-21 18:02 - 2024-02-21 18:07 - 000000000 ____D C:\Program Files\Wondershare
  2024-02-21 18:02 - 2024-02-21 18:03 - 000000000 ____D C:\Users\user\AppData\Local\Wondershare
  2024-02-26 20:00 - 2023-10-29 22:32 - 000000000 ____D C:\ProgramData\postal-programmer
  AV: Kaspersky Free (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: Kaspersky Free (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
  AlternateDataStreams: C:\ProgramData\droidcam-client-options-v2:8329C6407A [3442]
  AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [3442]
  AlternateDataStreams: C:\ProgramData\droidcam.log:ADD74D6E12 [3442]
  AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [3442]
  AlternateDataStreams: C:\ProgramData\hwskcrgw.bra:B7B1C85C3A [3442]
  AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [3442]
  AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [3442]
  AlternateDataStreams: C:\ProgramData\mijprvzl.ern:9658CDE1C9 [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a70bd9b3-3d20-11eb-a6ad-7085c2ba07fa}.TM.blf:EF6846887A [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a70bd9b3-3d20-11eb-a6ad-7085c2ba07fa}.TMContainer00000000000000000001.regtrans-ms:06645BD33F [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a70bd9b3-3d20-11eb-a6ad-7085c2ba07fa}.TMContainer00000000000000000002.regtrans-ms:6065FAF46E [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{e6a2aea4-8308-11eb-a6db-7085c2ba07fa}.TM.blf:43C8729BB6 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader.lnk:CCF539F03F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk:075A04AA92 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdGuard.lnk:732D57D4DD [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller.lnk:93337121EE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2020.lnk:C705C23FF2 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2021.lnk:6E6E4AA64E [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Awakened PoE Trade.lnk:C0EA1D0214 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DR LIVESEY ROM AND DEATH EDITION.lnk:D3CD4CFABC [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{2231F193-6CDC-41AD-A8FD-F7B5B7001D98}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣瑤瀵⹗硥e => Нет файла
  FirewallRules: [{5C9986D3-CD19-4E4F-836C-788646D4817E}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{B2398EB1-A587-4064-83DA-2F2016A3F659}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{AB98A52E-78B4-4CA5-9F92-DB16225CB02C}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣睋䰶攮數 => Нет файла
  
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[lastdreamer]

Я выделил код и запустил программу и все? Просто не нужно ли куда то вставлять код?

 

[lastdreamer]

вот

 

[Sandor]

Хорошо. Проблема решена?

 

[lastdreamer]

Хорошо. Проблема решена?

Да огромное вам спасибо теперь нету проблем.
Хотел спросить это был майнер? или просто троян? и хотел бы узнать возможно ли узнать откуда появился вирус? чтобы этот сайт у себя сразу убрать

 

[Sandor]

Это был майнер, причём двух типов.
Он обычно попадает в систему при установке некоего репака (или чаще активатора), скачанного с торрента (естественно, при отключенном антивирусе и Защитнике).

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[lastdreamer]

вот файл. этот файл покажет когда начал работать майнер? и можно ли узнать то что майнеры работали сильно ли скажется на системе типа видеокарте или на цп?

 

[Sandor]

Исправьте по возможности:

TeamViewer v.15.30.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.49.2 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
Discord v.1.0.9015 Внимание! Скачать обновления
Skype v.8.55.0.141 Внимание! Скачать обновления
Windscribe v.2.7.14 Внимание! Скачать обновления
µTorrent v.3.6.0.46904 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.3.0.1 v.4.3.0.1 Внимание! Скачать обновления
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
Spotify v.1.2.8.923.g4f94bf0d Внимание! Скачать обновления
AIMP v.v4.60.2167, 30.12.2019 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.3.2 v.15.3.2 Внимание! Скачать обновления
Adobe AIR v.32.0.0.125 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Creative Cloud v.5.5.0.617 Внимание! Скачать обновления
Adobe Acrobat v.23.001.20174 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Adobe Acrobat Reader DC MUI v.19.021.20061 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.122.0.6261.69 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
VideoAdsBlocker v.2.0.0.3052 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
The KMPlayer RePack by CUTA v.4.2.2.35 - (build 1) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

когда начал работать майнер?

24 февраля один, второй можно было бы сказать, если бы вы предоставили логи по правилам в начале лечения.

 

[lastdreamer]

а насколько могли эти майнеры повредить пк? я вроде уже некоторое время слышал шум с пк но даже не могу сказать в том время это был майнер или просто игры

 

[lastdreamer]

если бы вы предоставили логи по правилам в начале лечения.
Я вроде все логи отправил нет?

 

[lastdreamer]

у меня почему тоне запускается защитникон сперва просто не хотел переключать а теперь вообще это выдает

 

[lastdreamer]

Уменя почему то не запускается защитник. Он сперва просто не хотел переключать между запустить и отключить а теперь вообще это выдает

 

[lastdreamer]

нельзя включить хотя я нажал чтобы включить оно сразу отключилось

 

[lastdreamer]

я создал вторую тему потому что подумал что скорее всего к этому уже не относится

 

[Sandor]

Нет, вторую тему не нужно, продолжаем здесь.

Сделайте такой лог:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[lastdreamer]

вот

 

[Sandor]

Скачайте вложенный архив и извлеките из него два reg файла.
Загрузите систему в безопасном режиме. Запустите последовательно каждый файл и согласитесь с внесением изменений в реестр.
Перезагрузите компьютер в нормальном режиме и сделайте новый лог FSS.txt

 

[lastdreamer]

вот файл точь в точь сделал как написали

 

[lastdreamer]

Хотел спросить можно ли заново проверить пк на то есть ли все еще майнер или т.п
Просто мне кажется когда я открываю диспетчер задач как будьто пк начинает тише работать

 

[lastdreamer]

еще к этому заметил что когда я открываю диспетчер задач нагрузка на цп поднимается до 50-70 где то иногда 80 и сразу же падает