Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не могу удалить майнер с помощью avz (http://forum.oszone.net/showthread.php?t=351819)

goldyan 01-09-2022 17:48 2991548
Не могу удалить майнер с помощью avz
 
Вложений: 2
Здравствуйте, решил проверить компьютер на вирусы, в итоге не смог установить касперский и открыть Malwarebytes (unable to connect the service). Решил попробовать почистить через AVbr, выдало сообщение про майнер, закинул скрипт delminer.txt из папки в avz и в итоге мне выдает кучу ошибок в скрипте. AVbr выдает такую ошибку

akok 01-09-2022 18:07 2991550
А сейчас как система поживает?

goldyan 01-09-2022 19:57 2991555
Бывают редкие короткие подвисания, вне зависимости сколько программ открыто, а в целом вроде нормально работает

Sandor 05-09-2022 10:30 2991795
goldyan, для верности сделайте такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

goldyan 08-09-2022 09:45 2992048
Вложений: 2
Sandor, пришлось Addition.txt загрузить в архив, ибо пишет, что файл слишком большой

Sandor 08-09-2022 09:55 2992051
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {4EBB532F-A1C1-408A-A2F2-61F91621BB48} - \{AAD9E34F-3C08-487E-B2F1-3D039207464E} -> Нет файла <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.mail.ru/cnt/9516","hxxps://www.google.com/"
    AlternateDataStreams: C:\ProgramData\Temp:7578EF04 [131]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

goldyan 08-09-2022 10:43 2992054
Вложений: 1
Sandor,

Sandor 08-09-2022 10:46 2992055
Удалите старые и соберите новые логи FRST.txt и Addition.txt
Первый по какой-то причине получился неполный (перед сбором отчётов временно отключите антивирус).

goldyan 08-09-2022 10:52 2992056
Вложений: 2
Sandor,

Sandor 08-09-2022 11:04 2992058
Спасибо, хорошо.

Если проблема решена, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

goldyan 08-09-2022 11:18 2992060
Вложений: 1
Sandor,

Sandor 08-09-2022 11:25 2992062
Два антивируса могут конфликтовать. Выберите какой оставить, второй деинсталлируйте.

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.2.1 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.12.4249 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.11 v.3.61.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
iTunes v.12.9.2.6 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 15.4.0 v.15.4.0 Внимание! Скачать обновления
VLC media player v.3.0.3 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.19.012.20036 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera Stable 74.0.3911.218 v.74.0.3911.218 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.22.7.5.940 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.104.0.5112.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Essentials v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


На перечисленное обратите внимание и по возможности исправьте.
Читайте Рекомендации после лечения.

goldyan 08-09-2022 11:45 2992067
Sandor, спасибо, сейчас займусь этим. А майнера или чего подобного выявлено не было? Сейчас запустил AVBR, поверхностно проверил, вроде ничего, второй раз - выявило типа майнер и после перезагрузки ничего не выявил

Sandor 08-09-2022 11:47 2992069
Майнер был удалён первым проходом AVbr. Мы дочищали только некоторые хвосты и мусор.

goldyan 08-09-2022 11:51 2992070
Sandor, о, большое спасибо за помощь!


Время: 23:51.

Время: 23:51.
© OSzone.net 2001-