Не могу избавиться от вируса майнера. notepad.exe

@Maksimon02 · Регистрация: 05.03.2020

Author24 — интернет-сервис помощи студентам

Здравствуйте, обнаружился на компьютере вирус майнер, Dr. Web cureit нашел 2 файла и я их удалил, но майнер все равно ни куда не делся, по прежнему загрузка 50%, при включенном диспетчере задач она резко падает. Заранее благодарю за любые советы.
CollectionLog-2020.03.05-17.57.zip

@Maksimon02 · 06.03.2020, 00:04 **[ТС]**

Кажется я все сам починил. Если кому интересно делал я так:
Скачал Processhacker, при запуске майнер сразу закрылся, думал уже бессмысленно дальше ковыряться, но тут пришла в голову афера века и я просто переименовал ехе-шник хакера, и вуаля все как на ладони. Нашел, переименовал, удалил, и кажется победил.
Комутер перезагрузил, уже около полу часа прошло, все тихо, обычно, он не заставлял себя долго ждать.

@Sandor · 06.03.2020, 09:33

Здравствуйте!

На всякий случай даю вам скрипт, т.к. мне кажется, что вы только скрыли проблему, а не решили её.

Внимание! Рекомендации написаны специально для пользователя Maksimon02. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Makim\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '');
 DeleteSchedulerTask('Win32Utilities');
 DeleteFile('C:\Users\Makim\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@Maksimon02 · 06.03.2020, 13:49 **[ТС]**

Архив с именем "quarantine.zip" был пуст, но была папка "Quarantine" с файлами и я ее в архив кинул, не знаю правильно сделал или нет, просто первый раз таким занимаюсь.
Спасибо все помогло. Когда через Process Hacker я нашел кто запускал блокнотик, то приложение не стал удалять, а лишь переименовал его, ибо вряд ли "Powershell.exe", весь в подписях майкрософт, сам мог быть источником, при возврате его на прежнее имя, процессор снова начинал майнить, но сейчас, после исполнения скрипта и переименовывания, все ровно. Еще раз спасибо.
2020.03.06_quarantine_55c38f651e569465a034269fca190f72.zip

@Sandor · 06.03.2020, 14:17

Свежий лог (п.3) покажите всё же.

@Maksimon02 · 06.03.2020, 14:44 **[ТС]**

CollectionLog-2020.03.06-14.43.zip

@Sandor · 06.03.2020, 14:48

Сейчас - порядок.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Maksimon02 · 06.03.2020, 18:55 **[ТС]**

вот блокнотик
SecurityCheck.txt

@Sandor · 07.03.2020, 20:56

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Читайте http://www.cyberforum.ru/virus... 30326.html

@Maksimon02 0 / 0 / 0 Регистрация: 05.03.2020 Сообщений: 5
		1
	Не могу избавиться от вируса майнера. notepad.exe 05.03.2020, 18:21. Показов 5626. Ответов 8 Метки нет (Все метки) Здравствуйте, обнаружился на компьютере вирус майнер, Dr. Web cureit нашел 2 файла и я их удалил, но майнер все равно ни куда не делся, по прежнему загрузка 50%, при включенном диспетчере задач она резко падает. Заранее благодарю за любые советы. CollectionLog-2020.03.05-17.57.zip 0

@Maksimon02 0 / 0 / 0 Регистрация: 05.03.2020 Сообщений: 5
	06.03.2020, 00:04 [ТС]	2
	Кажется я все сам починил. Если кому интересно делал я так: Скачал Processhacker, при запуске майнер сразу закрылся, думал уже бессмысленно дальше ковыряться, но тут пришла в голову афера века и я просто переименовал ехе-шник хакера, и вуаля все как на ладони. Нашел, переименовал, удалил, и кажется победил. Комутер перезагрузил, уже около полу часа прошло, все тихо, обычно, он не заставлял себя долго ждать. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	06.03.2020, 09:33	3
	Сообщение было отмечено Maksimon02 как решение Решение Здравствуйте! На всякий случай даю вам скрипт, т.к. мне кажется, что вы только скрыли проблему, а не решили её. Внимание! Рекомендации написаны специально для пользователя Maksimon02. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Makim\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', ''); DeleteSchedulerTask('Win32Utilities'); DeleteFile('C:\Users\Makim\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z* из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 1

@Maksimon02 0 / 0 / 0 Регистрация: 05.03.2020 Сообщений: 5
	06.03.2020, 13:49 [ТС]	4
	Архив с именем "quarantine.zip" был пуст, но была папка "Quarantine" с файлами и я ее в архив кинул, не знаю правильно сделал или нет, просто первый раз таким занимаюсь. Спасибо все помогло. Когда через Process Hacker я нашел кто запускал блокнотик, то приложение не стал удалять, а лишь переименовал его, ибо вряд ли "Powershell.exe", весь в подписях майкрософт, сам мог быть источником, при возврате его на прежнее имя, процессор снова начинал майнить, но сейчас, после исполнения скрипта и переименовывания, все ровно. Еще раз спасибо. 2020.03.06_quarantine_55c38f651e569465a034269fca190f72.zip 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	06.03.2020, 14:17	5
	Свежий лог (п.3) покажите всё же. 0

@Maksimon02 0 / 0 / 0 Регистрация: 05.03.2020 Сообщений: 5
	06.03.2020, 14:44 [ТС]	6
	CollectionLog-2020.03.06-14.43.zip 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	06.03.2020, 14:48	7
	Сейчас - порядок. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Maksimon02 0 / 0 / 0 Регистрация: 05.03.2020 Сообщений: 5
	06.03.2020, 18:55 [ТС]	8
	вот блокнотик SecurityCheck.txt 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	07.03.2020, 20:56	9
	--------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows -------------------------------- [ Arch ] --------------------------------- WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^ Читайте http://www.cyberforum.ru/virus... 30326.html 0

Опции темы

Не могу избавиться от вируса майнера. notepad.exe

Решение