Решена удаление майнера с пк

[Organizator]

Кароч какая проблемка была, залетел ко мне майнер. Началось с того что я удалил новый профиль John (только потом я узнал что этого делать не нужно) потому что моя пека нчала грузить ЦП на 100 процентов. далее скачал пиратский доктор веб, потом скачал официальный доктор веб. и сразу удалил пиратский, и запустил официальный. удалил все вредоносные файлы трояны и тд, (около 30 шт). Теперь вод скачал утилиту AV block remover и выполнил им проверку. log прикрепляю.

 

[Sandor]

Здравствуйте!

Дополнительно прочтите и выполните Правила оформления запроса о помощи

 

[Organizator]

Уважаемый Sandor, прошу указать поконкретней на мои ошибки или подсказать с чего хотя бы начать, иначе я буду копаться в этом неделю. заранее спасибо за ответ

 

[Organizator]

Здравствуйте!

Дополнительно прочтите и выполните Правила оформления запроса о помощи

Если речь шла об этом то вот.

 

[Sandor]

Верно, об этом.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Organizator]

Верно, об этом.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Выполнил, что скажете?

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext.dll -> Нет файла
  ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext.dll -> Нет файла
  ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext32.dll -> Нет файла
  FirewallRules: [TCP Query User{07CAB650-2D2B-400B-835A-8ABB804DD829}E:\bin\win64\setup.exe] => (Allow) E:\bin\win64\setup.exe => Нет файла
  FirewallRules: [UDP Query User{0E3F2A33-6A43-4AA9-A72F-21D4F40C6647}E:\bin\win64\setup.exe] => (Allow) E:\bin\win64\setup.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Organizator]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext.dll -> Нет файла
  ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext.dll -> Нет файла
  ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\Aleksey\rarext32.dll -> Нет файла
  FirewallRules: [TCP Query User{07CAB650-2D2B-400B-835A-8ABB804DD829}E:\bin\win64\setup.exe] => (Allow) E:\bin\win64\setup.exe => Нет файла
  FirewallRules: [UDP Query User{0E3F2A33-6A43-4AA9-A72F-21D4F40C6647}E:\bin\win64\setup.exe] => (Allow) E:\bin\win64\setup.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал, что далее?

 

[Sandor]

Ещё один скрипт выполните.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Organizator]

Ещё один скрипт выполните.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Есть.

 

[Sandor]

Хорошо, лишние исключения Защитника удалены успешно.

Проблема решена?

 

[Organizator]

Хорошо, лишние исключения Защитника удалены успешно.

Проблема решена?

Да вроде да, время покажет конечно но так на первый взгляд все отлично. Очень признателен Вам, Sandor! Благое дело делаете. Низкий поклон.

 

[Sandor]

В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Organizator]

В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Sandor, Напишите на прощание меры предосторожности?) (кроме того что б не качать ничего с левых сайтов) то с каких хотя бы можно?

 

[Sandor]

Для этого и предназначены завершающие шаги. Такие рекомендации мы стараемся давать в каждой теме лечения.

Исправьте по возможности:

TeamViewer v.15.22.3 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.24.0.135 v.3.24.0.135 Внимание! Скачать обновления
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.8070 Внимание! Скачать обновления
µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО

(кроме того что б не качать ничего с левых сайтов) то с каких хотя бы можно?

Вы же понимаете, что всё часто и быстро меняется. Поэтому рекомендация скачивать программы с сайта производителя - почти универсальна.
Будьте внимательны.
Предположу, что был запущен активатор. Но вы скорее всего не обратили внимания на его размер (вероятно что-то более 200 мегабайт), в то время как его размер обычно не превышает единиц мегабайт.

 

[Organizator]

Для этого и предназначены завершающие шаги. Такие рекомендации мы стараемся давать в каждой теме лечения.

Исправьте по возможности:

TeamViewer v.15.22.3 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.24.0.135 v.3.24.0.135 Внимание! Скачать обновления
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.8070 Внимание! Скачать обновления
µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО


Вы же понимаете, что всё часто и быстро меняется. Поэтому рекомендация скачивать программы с сайта производителя - почти универсальна.
Будьте внимательны.
Предположу, что был запущен активатор. Но вы скорее всего не обратили внимания на его размер (вероятно что-то более 200 мегабайт), в то время как его размер обычно не превышает единиц мегабайт.

Благодарю за ответ на счет скачивания программ, думаю да официальные сайты самый надежный источник) А что скажите по поводу того... Вообщем как следить за состоянием пк? допустим как понять момент что майнер троян и тд, уже на ПК. тоесть нужна ли какая ни будь утилита? или можно как то через диспетчер задач понимать или через монитор ресурсов? ну вы поняли

 

[Sandor]

Следить за тем, чтобы защита была актуальна и включена.
Если не доверяете встроенному Защитнику, установите сторонний антивирус (можно бесплатный).