Решена Удаление "хвостов" после майнера
- Автор темы SmiMax
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Смотрится хорошо. Проверьте исключения защитника, там майнер любит себя прописывать.
www.safezone.cc
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Как удалить исключения Защитника Windows
После некоторых заражений системы в исключениях Защитника могут остаться пути вредоносных файлов. Чтобы их удалить проделайте следующее: В системном лотке (трее) щёлкните значок Защитника В появившемся окне щёлкните область "Защита от вирусов и угроз" Далее следует запустить "Управление...
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_c2532b63de827d3d\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (user missing) (sign: 'ASUSTeK COMPUTER INC.')
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
SmiMax
Новый пользователь
- Сообщения
- 13
- Реакции
- 1
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Тогда будем смотреть через логи. Нужны именно свежие.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
++
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены пункты:
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2891388451-246951304-2859529410-1001\...\Run: [YandexBrowserAutoLaunch_97B03A8D59EC68802F4F09A5B10470C6] => "C:\Users\89516\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла) ShortcutTarget: AnyDesk.lnk -> D:\AnyDesk\AnyDesk.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) S3 IObitUnlocker; \??\C:\Users\89516\AppData\Local\Temp\RarSFX0\IObitUnlocker.sys [X] <==== ВНИМАНИЕ 2024-04-09 03:05 C:\Users\89516\OneDrive\Рабочий стол\AutoLogger 2024-04-09 03:05 C:\Users\89516\OneDrive\Рабочий стол\AV_block_remover 2024-04-09 03:06 - 2024-04-09 03:06 - 000000000 __SHD C:\Program Files\ReasonLabs 2024-04-09 03:06 - 2024-04-09 03:06 - 000000000 __SHD C:\Program Files (x86)\Wise ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
++
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены пункты:
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Он и будет черным, пока только смотрим, что не так.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
После нужно будет подсадить твик реестра из вложения, после перезагрузить компьютер и проверить проблему
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: StartPowerShell: Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe" EndPowershell: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
После нужно будет подсадить твик реестра из вложения, после перезагрузить компьютер и проверить проблему
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Запустите powershell от имени администратора и покажите результаты команды
И пришлите, если сохранилась, ссылку на скачивание зараженного активатора в личные сообщения
PowerShell:
get-service WinDefend, SecurityHealthService, wscsvc | select name,status,starttypeИ пришлите, если сохранилась, ссылку на скачивание зараженного активатора в личные сообщения
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
И перезапускали пк? Тогда давайте попробуем переустановить службу
После перезагрузка и проверяем работу защитника + результаты get-service
И проверку через расширенный режим
www.safezone.cc
PowerShell:
Get-AppxPackage *Microsoft.Windows.SecHealthUI* | Reset-AppxPackageПосле перезагрузка и проверяем работу защитника + результаты get-service
И проверку через расширенный режим
Проверка целостности системных файлов утилитой sfc
Автоматизированный скрипт проверки sfc/scannow. Как правильно анализировать cbs.log и результаты проверки sfc /scannow Умеет производить проверку целостности хранилища компонентов, восстановление и очистку на системах начиная с Windows 7...
Последнее редактирование:
- Статус
