Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Снова поймал майнер после установки офиса, снова те же симптомы, что и раньше - закрывается диспетчер задач, прописались куча папок avbr, kvrt и тд
Решена Снова майнер после установки пиратского Microsoft project
- Автор темы Freedom-man
- Дата начала
- Статус
- Сообщения
- 25,043
- Решения
- 5
- Реакции
- 13,699
Тогда и алгоритм стартовых логов знаете, ждем.
www.safezone.cc
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Прошу прощения, пытаюсь собрать, тяжело, когда под рукой только телефон и заражённый ноут. Качаю автологгер
Последнее редактирование:
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Вот
- Сообщения
- 25,043
- Решения
- 5
- Реакции
- 13,699
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
QuarantineFile('C:\Programdata\Microsoft\maiqi\script.bat', '');
QuarantineFile('C:\Programdata\Microsoft\rrlgr\script.bat', '');
QuarantineFile('c:\programdata\reaitekhd\taskhost.exe', '');
QuarantineFile('c:\programdata\reaitekhd\taskhostw.exe', '');
QuarantineFile('c:\programdata\windows tasks service\winserv.exe', '');
QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
QuarantineFile('C:\WINDOWS\system32\unsecapp.exe', '');
QuarantineFile('c:\windows\syswow64\unsecapp.exe', '');
DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
DeleteFile('C:\Programdata\Microsoft\maiqi\script.bat', '64');
DeleteFile('C:\Programdata\Microsoft\rrlgr\Game.exe', '64');
DeleteFile('C:\Programdata\Microsoft\rrlgr\script.bat', '64');
DeleteFile('c:\programdata\reaitekhd\taskhost.exe', '32');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('c:\programdata\reaitekhd\taskhostw.exe', '32');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
DeleteFile('c:\programdata\windows tasks service\winserv.exe', '32');
DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
DeleteFile('C:\WINDOWS\system32\unsecapp.exe', '32');
DeleteFile('c:\windows\syswow64\unsecapp.exe', '32');
DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64');
DeleteSchedulerTask('Microsoft\Windows\CreedMobeP\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\MasterDataW\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\BackUpFiles');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\CheckUP');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\MapInfo');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryManager');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\Wininet\1Hour');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe (disabled)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
В папке с AVBR появился taskhostw.exe после выполнения всех процедур
- Сообщения
- 25,043
- Решения
- 5
- Реакции
- 13,699
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Готово
- Сообщения
- 25,043
- Решения
- 5
- Реакции
- 13,699
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
После проверяйте симптомы, что осталось.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) 2023-09-13 14:38 C:\ProgramData\princeton-produce EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
После проверяйте симптомы, что осталось.
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Готово
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Да! Спасибо огромное!
- Сообщения
- 3,873
- Реакции
- 2,425
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
- Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
- Прикрепите этот файл в своем следующем сообщении.
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Готово
- Сообщения
- 25,043
- Решения
- 5
- Реакции
- 13,699
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Исправьте по возможности и удачи
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.7.5.704 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Исправьте по возможности и удачи
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.7.5.704 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Freedom-man
Новый пользователь
- Сообщения
- 18
- Реакции
- 1
Спасибо, всё сделал!
- Статус
