Решена Вирус-майнер

Статус
В этой теме нельзя размещать новые ответы.

kimie

Новый пользователь
Сообщения
34
Реакции
0
Вчера словил майнер, вроде удалил его (перестала грузиться видеокарта). Прикреплю архив с логами.
 

Вложения

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Программа запустилась, но сопровождалась этим уведомлением

1661774017567.png
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус, при этом сеть не отключайте.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-2182997185-2431246531-824255057-1002\...\Run: [Registry] => "C:\Windows\SystemResources\CallingShellApp\Registry.exe" (Нет файла)
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    IFEO\calc.exe: [Debugger] win32calc.exe
    IFEO\CompatTelRunner.exe: [Debugger] svchost.exe
    IFEO\upfc.exe: [Debugger] svchost.exe
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2182997185-2431246531-824255057-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {36FE3CF6-2339-43E0-BF67-AB6D40A850B4} - System32\Tasks\RegistryR => C:\Windows\SystemResources\CallingShellApp\Registry.exe (Нет файла)
    Task: {38DF93B2-B3D7-4125-A037-9FC328036B95} - System32\Tasks\TR_FastScan_AtLogon => E:\Trojan Remover\Trjscan.exe /boot (Нет файла)
    Task: {5526F390-2650-474E-84DF-E12202D74E33} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe -sr (Нет файла)
    Task: {58F037DC-0CD5-4C39-BFE1-C7E22ED8EE6D} - System32\Tasks\TR_AntiHijack => E:\Trojan Remover\TRAntiHJ.exe (Нет файла)
    Task: {5C094322-0A71-4CFA-861A-D37265D8F010} - System32\Tasks\TR_FastScan_Daily_SLAVA => E:\Trojan Remover\Trjscan.exe /silent (Нет файла)
    Task: {6F4893B6-9609-43C6-BF20-3C8BFDB60C5A} - System32\Tasks\Trojan Remover => E:\Loaris Trojan Remover\ltr.exe (Нет файла)
    Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
    Task: {C804E3B8-3C36-4DB7-87FC-AEA0AEAA0D89} - System32\Tasks\TR_Updater => E:\Trojan Remover\Trupd.exe /silent (Нет файла)
    Task: {ECDD983B-9DC6-4F69-8316-94B303964DD1} - System32\Tasks\Registry => C:\Windows\SystemResources\CallingShellApp\Registry.exe (Нет файла)
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [165]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [165]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [165]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [165]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [165]
    AlternateDataStreams: C:\Users\SLAVA\Application Data:NT [40]
    AlternateDataStreams: C:\Users\SLAVA\Application Data:NT2 [165]
    AlternateDataStreams: C:\Users\SLAVA\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\SLAVA\AppData\Roaming:NT2 [165]
    StartBatch:
      ECHO Y|CHKDSK C: /F
      pushd c:\windows\system32
      bcdedit.exe /set {default} recoveryenabled yes
      net stop bits
      net stop cryptSvc
      net stop wuauserv
      net stop msiserver
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
      net start bfe
      net start bits
      net start cryptSvc
      net start eventsystem
      net start msiserver
      net start rpcss
      net start sdrsvc
      net start trustedinstaller
      net start vss
      net start winmgmt
      net start wuauserv
    EndBatch:
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Выполнение скрипта может занять некоторое время, дождитесь окончания.
Во время перезагрузки будет запущено исправление возможных ошибок диска, не прерывайте его.
 
Сколько у вас свободного места на диске С?
 
Да, это мало.
Считается, что свободного места на системном диске должно быть не менее 20% от всего объёма.
Постарайтесь освободить.

Ок, возвращайтесь в системный раздел. Там больше специалистов может отвечать, чем здесь.
 
Да, туда.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу