Поймал майнер

@Mage · Регистрация: 01.06.2015

Студворк — интернет-сервис помощи студентам

Где скачать RSIT (HijackThis)?

@Mage · 15.11.2019, 10:58 **[ТС]**

Поймал майнер под названием вроде rxsig или mxsig точно уже не помню, когда нажимаю ctrl+alt+delete у меня там пропал task manager, через ctrl+shift+esc тоже не открывается. Прошу помощи.

@Sandor · 15.11.2019, 11:10

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Сообщение от Mage

Где скачать RSIT (HijackThis)?

Обе утилиты входят в состав Автологера.

@Mage · 15.11.2019, 12:21 **[ТС]**

Sandor, у меня не видно Лог на компьютере.

Добавлено через 2 минуты
Делаю заного.

@Mage · 15.11.2019, 12:53 **[ТС]**

CollectionLog-2019.11.15-11.51.zip

@Mage · 15.11.2019, 12:59 **[ТС]**

Поймал Mxrig или Rxmig

@Sandor · 15.11.2019, 14:27

Не нужно создавать новую тему, продолжаем здесь.
Ошибок во время сбора логов не было?

Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
var PathAutoLogger, CMDLine : string;
 
 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

@Mage · 15.11.2019, 14:45 **[ТС]**

Sandor, выполнил. Один раз подвисла программа когда сканировала firefox а так нет. Report.7z

@Sandor · 15.11.2019, 14:52

Вероятно вы антивирус полностью не отключили при сборе логов.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Добавлено через 1 минуту
+
Опишите подробнее словами как проявляется проблема? Из-за чего вы решили проверить?

@Mage · 15.11.2019, 15:02 **[ТС]**

Sandor, я скачал setup.exe с майнером, установил его(не знаю что там майнер), через часов 6 система начало жутко подвисать, хотя работало 2 приложения. Решил посмотреть что так грузит в task manager, и он у меня исчез, microsoft антивирус отключился, нашел правда вирус в какой-то папке microsoft/spynet... и не мог удалить. Вирус я удалил Comodo, а task manager возобновил с помощью Dr.Web Cure It. Но еще до конца не уверен что мой компьютер без вирусов. Сейчас сканирую Farbar Recovery Scan Tool.

@Mage · 15.11.2019, 15:06 **[ТС]**

FRST.7z
Addition.7z
Я проверял этой программой с включеным Comodo.

@Mage · 15.11.2019, 15:11 **[ТС]**

HKU\S-1-5-21-4185132354-998357578-2748493265-1001\...\Run: [Defender] => C:\Program Files (x86)\Electonic Arts\Game\Defender.exe
На сколько я помню после инсталяции файла setup.exe, defender.exe был с майнером.

Добавлено через 2 минуты
Ну то есть, setup.exe этот фаил и установил.

@Sandor · 15.11.2019, 15:13

Сообщение от Mage

с включеным Comodo

Это зачем, чтоб усложнить на работу?

Сообщение от Mage

defender.exe был с майнером

Загрузите его на www.virustotal.com и покажите ссылку на результат.

@Mage · 15.11.2019, 15:14 **[ТС]**

Sandor, дело в том что у меня его больше не осталось, я его удалил польностью, даже папки такой не осталось.

@Sandor · 15.11.2019, 15:21

Внимание! Рекомендации написаны специально для пользователя Mage. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Следы бывших установок Avira и Norton очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса

Затем:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
Start::
CreateRestorePoint:
HKU\S-1-5-21-4185132354-998357578-2748493265-1001\...\Run: [Defender] => C:\Program Files (x86)\Electonic Arts\Game\Defender.exe
HKU\S-1-5-21-4185132354-998357578-2748493265-1001\...\MountPoints2: {216093e6-d55e-11e9-8399-7085c2b93017} - "F:\startme.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Task: {7E47D451-574E-45AE-8D91-83E377AD94D0} - System32\Tasks\Norton Security Scan for eupho => C:\PROGRA~2\NORTON~2\Engine\461~1.179\Nss.exe
Task: {C5FA6853-67C8-4E4C-8B1A-F6E42CA36002} - System32\Tasks\LiveCamDrive => C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\taskdrive\steam.vbe [2460 2019-11-14] () [File not signed] <==== ATTENTION
FirewallRules: [{60200288-0D00-4386-B874-0C4CF5B3209D}] => (Allow) C:\WINDOWS\SysWOW64\wscript.exe
FirewallRules: [{BDB60D3E-E6B7-4595-A33E-9B0AA0A06D01}] => (Allow) C:\WINDOWS\SysWOW64\wscript.exe
FirewallRules: [{9FFCCA5B-B2C0-4C12-BC2C-9C0FA60BA14D}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{FE8A5466-6D29-48C0-8831-92F8AADF703F}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{D0E9D359-8E59-4498-8B02-4F037899CF94}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{57EE5FAA-5CC3-4FBD-ADA9-8EA4311F5C3B}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{D83A5D80-E98D-40A5-8390-8B285D3BFDD4}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{29427720-2D97-495A-9B24-09B3D07AC7E0}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{A8922015-3E74-46DD-80B0-AC22AC3BF2E0}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{EC254823-D4ED-4C70-B064-6E140083C5CD}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{D5D0A3A5-49F1-4BDA-9FFA-2431A14FF397}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{6032D865-390C-4698-B5F4-54F866A5FDF5}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{08E65C78-9A1E-466B-A29C-965AE9DB5381}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{D8FB7F9F-9865-4CFA-BF22-4D03C59A1051}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{2E806849-7CA7-4BA2-BF17-2C3CDDACE714}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{331AC72A-1C6D-4929-9F52-2A9672443B07}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{FF5F859D-0432-4C34-A9C1-BBF8F7E691F7}] => (Block) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe No File
FirewallRules: [{2FC80F33-F981-44FA-AB47-C73F05CD22F5}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe No File
FirewallRules: [{37B19063-4492-4AA5-88E1-0C9513921F24}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe No File
FirewallRules: [{5705C987-5FD8-4F55-9CFC-F7F3233D6D67}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{93298664-B356-4EA3-A5B4-4D897BE04D7A}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{BB7D1A38-B4A2-4C9C-BC0C-967FB883201B}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{5DDDD878-334A-49EE-A5A7-872485DADB17}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{F8525CA2-4662-4F1B-BB05-564DBFF8655B}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{553EB9B6-DEF9-49E8-BDC8-4DA51A8784FA}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{7FABFFF5-416C-48EB-A854-4DBEB81BD9EE}] => (Allow) C:\WINDOWS\SysWOW64\wscript.exe
FirewallRules: [{01CFD7C3-3D2A-464D-A2B5-D7719643D79B}] => (Allow) C:\WINDOWS\SysWOW64\wscript.exe
FirewallRules: [{D14BDFDB-5F04-466E-8EC4-E1A5351C9176}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{24EED775-E75F-49B2-B26C-92413FD8645A}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{FF45ED43-3CAF-4B96-B7FB-6845E97C643E}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{4AE475C1-242B-4C96-9D06-6A854EA0EE6A}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{AABD409D-4CA9-4B97-89C6-A413997B7549}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{8F6FF3AE-2E33-459D-B6F9-3E0049F4B8AD}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{C0BEFD3F-D883-4B8F-B804-F0D4E607933A}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{93D6585C-C96C-4A4D-9D1F-C1EBEB692815}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{28DEDAC4-143E-49A3-9A96-9879DD443B5A}] => (Allow) C:\WINDOWS\System32\WScript.exe
FirewallRules: [{AA54D5A9-DB7B-492B-AB8A-C2D875ABE467}] => (Allow) C:\WINDOWS\System32\WScript.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Mage · 15.11.2019, 15:57 **[ТС]**

Fixlog.txt

@Sandor · 15.11.2019, 16:03

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Mage · 15.11.2019, 17:30 **[ТС]**

SecurityCheck.txt

@Mage · 15.11.2019, 18:36 **[ТС]**

Sandor, сделал.

@Sandor · 15.11.2019, 23:08

--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.60.92.0 Warning! This software is no longer supported. Please uninstall it and use another software.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.2 v.9.2.0 Warning! This software is no longer supported. Please uninstall it and use Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
Wondershare Helper Compact 2.5.3 v.2.5.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.

Новые блоги и статьи Все статьи Все блоги /
Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .
Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220

	Поймал майнер 15.11.2019, 10:45. Показов 3481. Ответов 32 Метки нет (Все метки) Где скачать RSIT (HijackThis)? 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 10:58 [ТС]
	Поймал майнер под названием вроде rxsig или mxsig точно уже не помню, когда нажимаю ctrl+alt+delete у меня там пропал task manager, через ctrl+shift+esc тоже не открывается. Прошу помощи. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 12:21 [ТС]
	Sandor, у меня не видно Лог на компьютере. Добавлено через 2 минуты Делаю заного. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 12:53 [ТС]
	CollectionLog-2019.11.15-11.51.zip 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 12:59 [ТС]
	Поймал Mxrig или Rxmig 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 14:45 [ТС]
	Sandor, выполнил. Один раз подвисла программа когда сканировала firefox а так нет. Report.7z 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	15.11.2019, 14:52
	Вероятно вы антивирус полностью не отключили при сборе логов. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. Добавлено через 1 минуту + Опишите подробнее словами как проявляется проблема? Из-за чего вы решили проверить? 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 15:02 [ТС]
	Sandor, я скачал setup.exe с майнером, установил его(не знаю что там майнер), через часов 6 система начало жутко подвисать, хотя работало 2 приложения. Решил посмотреть что так грузит в task manager, и он у меня исчез, microsoft антивирус отключился, нашел правда вирус в какой-то папке microsoft/spynet... и не мог удалить. Вирус я удалил Comodo, а task manager возобновил с помощью Dr.Web Cure It. Но еще до конца не уверен что мой компьютер без вирусов. Сейчас сканирую Farbar Recovery Scan Tool. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 15:06 [ТС]
	FRST.7z Addition.7z Я проверял этой программой с включеным Comodo. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 15:11 [ТС]
	HKU\S-1-5-21-4185132354-998357578-2748493265-1001\...\Run: [Defender] => C:\Program Files (x86)\Electonic Arts\Game\Defender.exe На сколько я помню после инсталяции файла setup.exe, defender.exe был с майнером. Добавлено через 2 минуты Ну то есть, setup.exe этот фаил и установил. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	15.11.2019, 16:03
	1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 15:14 [ТС]
	Sandor, дело в том что у меня его больше не осталось, я его удалил польностью, даже папки такой не осталось. 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 15:57 [ТС]
	Fixlog.txt 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 17:30 [ТС]
	SecurityCheck.txt 0

@Mage Ученик. 0 / 6 / 0 Регистрация: 01.06.2015 Сообщений: 220
	15.11.2019, 18:36 [ТС]
	Sandor, сделал. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	15.11.2019, 23:08
	Сообщение было отмечено Mage как решение Решение --------------------------- [ OtherUtilities ] ---------------------------- Ghostscript GPL 8.64 (Msi Setup) v.8.64 Warning! Download Update Uninstall old version and install new one. --------------------------- [ AppleProduction ] --------------------------- QuickTime v.7.60.92.0 Warning! This software is no longer supported. Please uninstall it and use another software. --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.2 v.9.2.0 Warning! This software is no longer supported. Please uninstall it and use Adobe Acrobat Reader DC. ---------------------------- [ UnwantedApps ] ----------------------------- Wondershare Helper Compact 2.5.3 v.2.5.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering. 1

Поймал майнер

Решение