• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена "Хитрый" Вэбмайнер не определяется антивирусами

Статус
В этой теме нельзя размещать новые ответы.

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Доброго времени суток! Проблема с ним возникла в последние пару дней, когда решил почистить комп. За последние месяцев 7 при не активном антивирусе скопилось много вирусов, большинство из которых успешно удалились но этот поганец успешно маскируется. В процессе лечения использовал Malwarebite, CureIt, AVZ , kaspersky, NOD. На данный момент вирусов никто из них не находит, но симптомы майнера и он сам имеются. Сильный гул кулера когда запущен только браузер, при открытии диспетчера задач видна максимальная нагрузка на процессор в пределах секунды потом она сразу же падает до 0-5%. При открытии браузера, открывал Opera и Chrome, сразу же появляются несколько окон которых в самом браузере нет. Но через диспетчер задач браузера они видны и виден процесс использования GPU, который при удалении заново себя запускает.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
Loaris Trojan Remover и AntiMalware - деинсталлируйте пока

Process Hacker 2 - сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RebootWindows(false);
end.
Компьютер перезагрузится.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Loaris Trojan Remover и AntiMalware удалил.

Process Hacker 2 да сам

O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

1е почему то не может исправить
2 и 3 при скане не обнаруживаются
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
Malwarebytes - еще видно в логе. А так кроме мусора в логах ничего не видно.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    URLSearchHook: [S-1-5-21-611754407-3204207834-1096807025-1001.bak-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-01162020235226590] ATTENTION => Default URLSearchHook is missing
    BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
    BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    HKLM\...\StartupApproved\StartupFolder: => "SoftEther VPN Client Manager Startup.lnk"
    HKLM\...\StartupApproved\Run32: => "LWS"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Эм, скопированное вставить в поле FRST и затем фикс?
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
А все понял извиняюсь за тупняк
 

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
Что с проблемой?
 

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Понял, спасибо. Сейчас буду пробовать
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,441
Реакции
6,024
Баллы
1,008
+ ещё мусора почистим.
1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
2) "Пофиксите" в HijackThis
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: AdobeGCInvoker-1.0 - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe -mode=scheduled (file missing)
O23 - Service S2: Adobe Genuine Monitor Service - (AGMService) - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe  (file missing)
O23 - Service S2: Adobe Genuine Software Integrity Service - (AGSService) - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe  (file missing)
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
в безопасном режиме он всё равно активен и отключение не майкрософтовых служб тоже не помогает

HijackThis при скане почему то таких путей не находит
 

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
Проверьте через Process Hacker 2 какой процесс вызывает нагрузку.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,789
Реакции
1,937
Баллы
563

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Исправил, да использовал не ту версию HiJackThis

Сейчас с Process Hacker 2 посмотрю
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
В процесс хакере показывает что браузер нагружает.
 

akok

Команда форума
Администратор
Сообщения
18,272
Реакции
13,729
Баллы
2,203
FireFox или Хром?
 

Pashka

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
В любом, как только открываешь браузер сразу 3 доп вкладки открыватся в списке браузера их нет а в диспетчере есть дат одна нагрузка на GPU, вторая вспомогательное приложение NetworkServise, третья вспом. AudioServise и до кучи еще несколько подфрэймов типа ютуба,гугла и т.д.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,789
Реакции
1,937
Баллы
563
3 доп вкладки открыватся
Наверное все же не вкладки, а процессы, так?
Если да, при активном окне, например, Хрома нажмите комбинацию Shift+Esc и увидите его собственный диспетчер задач.
Для Хрома (как впрочем и для других) большое количество процессов - нормальное явление.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу