Решена Вирус-майнер, замаскированный под Reaitek HD Audio

Статус
В этой теме нельзя размещать новые ответы.
G

Giftig

Новый пользователь
Сообщения
12
Реакции
0
Случайно установил майнер, вроде немного очистил пк, но все равно некоторые остатки остались. Как дочистить?
 
Вот файлы
 

Вложения

Выполните написанное по ссылке в правилах, и не присылайте то, что у Вас пока не просили
 
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код: 
O22 - Tasks: \Microsoft\Windows\FilesystemY\RecoveryHosts - C:\ProgramData\Microsoft\MapData\dBBW3pqA\FilesystemY.bat (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\Hor - C:\ProgramData\Microsoft\MapData\dBBW3pqA\Game.exe -ppidar (not signed)

Заново запустите AV block remover и пришлите его новый лог.

Удалите старые логи FRST.txt и Addition.txt, сделайте новые.
 
После работы avbr и перезагрузки пк вирус стал блокировать msconfig и некоторые сайты
 

Вложения

Вы фикс в HiJackThis выполняли, как было написано по ссылке? Логи показывают, что Вы заново вообще запустили майнер.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {3FFD85CD-BC8D-4831-95DA-19C46F37928A} - System32\Tasks\Microsoft\Windows\FilesystemY\dBBW3pqA => C:\Programdata\ReaItekHD\taskhost.exe [22820368 2023-08-07] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {6848A18F-7587-458D-B82E-95DEB1D70A22} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryHosts => C:\ProgramData\Microsoft\MapData\dBBW3pqA\FilesystemY.bat [2770 2023-08-18] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {BF84BAB6-FEA9-4D95-9D6C-F0C396482779} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {0B903E71-D96D-4EAE-83FF-5BC750EC3BA2} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\MapData\dBBW3pqA\Game.exe [53231134 2023-08-08] () [Файл не подписан]
C:\Programdata\ReaItekHD
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Теперь заново запускайте AVBR, заново делайте логи Farbar
 
Фикс в HiJackThis я не выполнил, т.к. вирус выкинул меня из папки, и мне пришлось запускать винду в безопасном режиме, чтобы сделать эти действия, в итоге про фикс вообще забыл. Мне все таки сделать его или делать то, что вы позже написали?
 
И еще после этих действий майнер перестал запускать powershell при старте винды, и теперь я могу заходить на любые сайты, т.к. вирус больше их не блокирует, но он все еще блокирует dr.web
 
Вернусь к компьютеру - отвечу
 
AV: Dr.Web Security Space (Disabled - Up to date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
AV: GRIZZLY Antivirus (Disabled - Up to date) {383C18DE-38FD-D1E0-3A1B-C1E952AA2037}
Нажмите для раскрытия...
оставьте только одно защитное решение

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
2023-08-18 17:26 - 2023-08-18 17:26 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 17:26 - 2023-08-18 17:26 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 17:26 - 2023-08-18 17:26 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 17:26 - 2023-08-18 17:26 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
AlternateDataStreams: C:\Mount:$WIMMOUNTDATA [802]
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Теперь все работает. Спасибо за помощь!
 
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

K
  • Закрыта
Решена Вирус-майнер, замаскированный под Realtek HD Audio
Ответы
14
Просмотры
14K
Sandor
Sandor
U
Решена Вирус/майнер? Творит что хочет..
2
Ответы
24
Просмотры
210
Sandor
Sandor
Z
  • Закрыта
Закрыто Подхватил майнер вирус на cpu, логи FRST
Ответы
5
Просмотры
160
Sandor
Sandor
Назад
Сверху Снизу