Закрыто Спящий майнер

[Duci]

Салют, зная что сейчас практически любой торрент файл с программой содержит вирус, купил себе касперский стандарт, решил что так дешевле выйдет, чем самому возится. Купив ноут, начал скачивать нужные программы, при установке естественно отключал касперского чтобы не ругался, после установки включал и уже касперский удалял вирусы, а я оставался довольным что получил программу и удалил вирусы. Но спустя примерно 2 месяца, заметил что ярлык касперского без картинки а при нажатии, утверждал что нету доступа к программе. Подумал что удалился или какой-то баг. Решил заново скачать, но установить корректно не получалось на 12% установки касперский просил перезагрузить, чтобы получить права ( после перезагрузки, ничего не происходило, делал так 3 раза) Поняв что, тут явно не всё чисто. Позвонил в поддержку касперского ничего путного не предложили как кроме сделайте, то это, а весь сюр в том что я не мог сделать даже точку восстановления (отказ в доступе).
Заметил что в пользователях есть джон, удалил его, сделал себя администратором не помогло. Нашел папку касперского, она была заблокирована, нету прав доступа, причем сама система говорила что вы хоть и администратор, но доступа у вас к ней нет.

Скачал авбр, и чудо свершилось, смог создать точку восстановления и сделал по инструкции касперского (удалить хвосты продукции касперского, установить заново антивирус).

Ближе к сути, сталкивался с подобным и раньше, но так как касперский лицензия, не парился и полностью ему доверял. Сейчас у меня сомнения что касперский даже платный не повторит той участи что и сейчас, когда ему закроют доступ к пк. Поэтому хочу убедится не вернется ли эта проблема вновь, такое чувство что вирус просто ждет момента, чтобы потом получив права доступа, начать свои темные делишки.

Хотел добавить, что установил уже касперский и прогнал полную проверку, ничего не показало, хотя это очень и очень странно, ведь авбр не мог полностью устранить причину.

 

[Sandor]

Здравствуйте!

начал скачивать нужные программы, при установке естественно отключал касперского чтобы не ругался, после установки включал и уже касперский удалял вирусы, а я оставался довольным что получил программу и удалил вирусы.

При такой последовательности действий вы рано или поздно опять можете заразить систему. И вины антивируса тут нет, т.к. вредонос получает права администратора и делает с системой всё, что ему понадобится.

Скачал авбр, и чудо свершилось

Если сохранился его отчёт вида AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

"Пофиксите" в HijackThis только следующие строки:

O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Duci]

"Пофиксите" в HijackThis только следующие строки:
Код:

O27 - Account: (Hidden) User 'John' is invisible on logon screen


Начал эту операцию делать и антивирус мне заблокировал это действие, перезагрузил заново запустил проверку хайджек и уже не показывает 027 пункт, значит всё ок?

 

[Sandor]

уже не показывает 027 пункт, значит всё ок?

Сделайте новый лог HiJackThis (используйте тот, который находится в папке Автологера - C:\Users\DUCI\Desktop\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe)

 

[Duci]

Сделайте новый лог HiJackThis (используйте тот, который находится в папке Автологера - C:\Users\DUCI\Desktop\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe

Сделал пункт 027 исчез, получается всё?

 

[Sandor]

Да, в логах больше ничего подозрительного.

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Duci]

Да, в логах больше ничего подозрительного.

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Sandor]

Исправьте по возможности:

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
µTorrent v.3.6.0.47016 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex v.24.6.0.1874 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

 

[Duci]

Исправьте по возможности:

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
µTorrent v.3.6.0.47016 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex v.24.6.0.1874 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Приветствую, теперь у меня выскакивают ошибки при включении ноута, первая ошибка была такая - "сбой при удаленном вызове процедуры"
Вторая на фото ниже. Как я понял, какая-то программа пытается связаться с майнером, но где-то происходит внутренний конфликт.
Подскажите пожалуйста как это можно убрать/вылечить

 

[Sandor]

Соберите новый CollectionLog Автологером.

 

[Duci]

Соберите новый CollectionLog Автологером.

 

[Sandor]

Соберите новые логи FRST.txt и Addition.txt

 

[Duci]

Добрый вечер, ситуация стала еще хуже. Теперь при включении ноута, тупо пропадала плашка с водом пароля, чтобы войти в систему. Пытался ввести пароль не видя поля ввода, не помогало, перезагружал много раз, самое странное не было заставки логотипа ноута при включении, такое чувство что он при выключении в сон отправлял ноут, а при включении просто картинка без возможности ввода пароля. При этом ноут начинал разгонять куллера как будто запускал игру. Где-то минут 5 включал выключал и получилось запустить, так чтобы и логотип ноута появился сначала (как и должно быть при запуске), ввел пароль но ноут очень долго думал прежде чем зайти в систему. Когда всё же зашел в систему, нижней панели не было а при наведении туда курсора был кружочек якобы выполняющий операции, я потыкал в нижнюю панель несколько раз и выскакивает эта ошибка - " сбой при удаленном вызове процедуры" но при этом нижняя панель спокойно возвращается на место и всё ок.

Пожалуйста помогите избавиться от этой заразы, благодарю

 

[Duci]

Так же получил письмо от касперского:

Уважаемый пользователь, дампов продукта и падений в журнале событий не имеется.

Но мы видим, что продукт установлен и запущены драйверы.

А также в журнале событий есть много ошибок разных системных служб и даже падения Проводника:

Ошибка 2024/06/19 14:42:28 Application Hang 1002 Application N/A
Message :
Программа explorer.exe версии 10.0.19041.4522 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, просмотрите журнал проблем в разделе "Безопасность и обслуживание" в панели управления. Идентификатор процесса: 20b8 Время запуска: 01dac2565a85aaa1 Время завершения: 0 Путь к приложению: C:\Windows\explorer.exe Идентификатор отчета: 8af28619-d20a-47d6-ac93-14a4eeb1aa4a Полное имя пакета сбоя: Код приложения, связанного со сбойным пакетом: Тип зависания: Unknown
Пожалуйста, выполните следующее:

Зайдите в меню Пуск – Выполнить – введите команду sfc /scannow и выполните проверку. Если в ходе проверки появится просьба вставить установочный диск Windows – вставьте его или нажмите "Пропустить".

Пришлите нам скрин с результатами проверки.

- ( ХОЧУ СДЕЛАТЬ ЭТУ КОМАНДУ sfc /scannow , НО НИЧЕГО НЕ ПРОИСХОДИТ НИКАКАЯ ПРОВЕРКА НЕ ЗАПУСКАЕТСЯ)

 

[Sandor]

Отключите защиту по возможности до перезагрузки, но не отключайте сеть.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Duci]

Отключите защиту по возможности до перезагрузки, но не отключайте сеть.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Проблема сохраняется?

 

[Duci]

Проблема сохраняется?

Добрый день, всё равно вылезает ошибка) даже не знаю в чем беда и с чем она связана

 

[Sandor]

Создайте параллельно тему в системном разделе.
Ссылку на эту тему там укажите.

 

[Sandor]

Тут пока закрываю.