Решена Вирус/майнер? Творит что хочет..

  • Автор темы Автор темы urb
  • Дата начала Дата начала
U

urb

Новый пользователь
Сообщения
18
Реакции
0
Здравствуйте, поймал заразу на ноут, закрывает браузер, закрывает msconfig
вылетает блокнот когда захожу в файл hosts. Знаю что нужно собрать и прикрепить логи, но после распаковки и запуска программы она моментально закрывается, а если быстро нажать ок то вылезет отказ в доступе, подскажите как мне быть и как еще можно собрать логи?
 

Вложения

  • IMG_4867.webp
    IMG_4867.webp
    12.6 KB · Просмотры: 8
Здравствуйте!

Пробуйте запустить Автологер не из папки Загрузки или Рабочий стол, а из любой другой.
Если тоже не получится, запускайте из безопасного режима.
 
Вроде как что-то собралось, папка куда выгрузились логи закрывалась мгновенно, пришлось добавить ее в архив и уже оттуда доставать логи
 

Вложения

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
При попытке запуска exeшника появляется полоска загрузки но ничего не открывается, так же создалась такая папка, если открывать ее она тоже вылетает
 

Вложения

Саму утилиту не нужно было прикреплять.
Пробуйте запустить в безопасном режиме с поддержкой сети.
 
Хорошо. Только CollectionLog соберите ещё раз уже в нормальном (не в безопасном) режиме.
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Bonjour
Client Helper 6.1.4
uTorrent 8.2.9
Нажмите для раскрытия...
Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код: 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\takumi\appdata\roaming\utorrent\pro\utorrentpro.exe');
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('c:\users\takumi\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('FxSound\Update');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1728215676718');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1728215680488');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('c:\users\takumi\appdata\roaming\utorrent\pro\utorrentpro.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis только следующие строки:
Код: 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 188.190.14.7:63789 (disabled)
O4 - HKLM\..\StartupApproved\Run32: [UKRAINE GTA [UPDATER]] = C:\Program Files (x86)\UKRAINEGTA\updater.exe (file missing) (2024/10/10)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DpaDisabled] = 1
O27 - Account: (Hidden) User 'John' is invisible on logon screen
Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
2024.10.25_quarantine_badef540a45e79343a578b77457f8553.7z - это файл карантина который я залил в специальную форму

В hijackthis я закрыл все кроме этого, его в моем списке просто не было после сканирования.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local;&lt;local&gt;
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-605259173-3350864780-1117072320-1002\...\Policies\Explorer: [HideSCAMeetNow] 1
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
U4 RetailDemo; отсутствует ImagePath
2024-10-06 14:54 - 2024-10-06 14:54 - 000000264 _____ () C:\Users\Takumi\uTorrentPro.dat
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [164]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [164]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [164]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [164]
AlternateDataStreams: C:\Users\Takumi\Application Data:NT [40]
AlternateDataStreams: C:\Users\Takumi\Application Data:NT2 [164]
AlternateDataStreams: C:\Users\Takumi\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Takumi\AppData\Roaming:NT2 [164]
FirewallRules: [{1D64DD99-73E9-4334-96AB-810208DC3AD5}] => (Allow) LPort=27015
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Скрипт отработал успешно. Что сейчас с проблемой?
 
Окна перестали закрываться и браузер работает, но при полном простое ноут продолжает сильно шуметь(имею ввиду, что как будто какой то процесс еще работает в фоне), вентилятор разгоняется секунд на 20 до максимума, затихает секунды на 3 и по новой (разумеется все программы закрыты)
 
Я не совсем понимаю что норма, а что нет из процессов, но что-то явно нагружает систему в режиме простоя. Process explorer как минимум показал какие-то процессы от nvidia nvcontainer, а у меня видеокарта дискретная от интел, может это быть лишним?
 
Пропадает на какое-то время, process explorer показывает что в простое систему грузил TiWorker.exe Сейчас опять тишина.

От nvidia в железе ничего нет, как мне правильно снести всю цепочку файлов вместе с процессами?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Z
  • Закрыта
Закрыто Подхватил майнер вирус на cpu, логи FRST
Ответы
5
Просмотры
160
Sandor
Sandor
M
  • Закрыта
Решена Помогите удалить вредоносное ПО с компьютера (майнер, вирус?)
Ответы
13
Просмотры
383
Sandor
Sandor
Z
  • Закрыта
Решена Подцепил вирус "Майнер", после распаковки активатора Офиса из торрента
Ответы
18
Просмотры
450
Sandor
Sandor
Назад
Сверху Снизу