RobotDemo (CsGoCalc)

@Lollakin · Регистрация: 18.07.2021

Author24 — интернет-сервис помощи студентам

Недавно обнаружил на ноутбуке Майнер, называется RobotDemo, как минимум скрывается под таки названием, находится сразу вместе с CsGoCalc, как они попали на комп? я совершенно без понятия... Прошу помощи

CollectionLog-2021.07.18-02.37.zip

@Sandor · 19.07.2021, 08:16

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Lollakin. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Два антивируса не усиливают, а ослабляют защиту:

360 Total Security
Avast Free Antivirus

Один оставьте, один удалите.
Также удалите нежелательное ПО:

IObit Uninstaller 10
Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission\', '*', true);
 DeleteDirectory('c:\program files (x86)\transmission\');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@Lollakin · 24.07.2021, 13:24 **[ТС]**

Вот

@severnyj · 24.07.2021, 14:10

Деинсталлируйте нежелательное ПО:

giraffe judge 2.3.6.93 [2021/06/09 16:31:19]-->"C:\ProgramData\Package Cache\{810c1839-631e-4a6e-8172-595f255dda30}\install.exe" /uninstall
occasion waste 2.1.1.2 [2021/05/19 15:24:16]-->"C:\ProgramData\Package Cache\{4be74089-dc04-44cc-9a98-a7f35887a679}\install.exe" /uninstall

, если не получится стандартно, используйте GeekUninstaller или https://github.com/Klocman/Bul... ortable.7z.

Пофиксите в HJT C:\Users\justl\Desktop\AutoLogger\HiJackThis\HiJackThis.exe

Код

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{74a0e67e-4ea8-4ca7-94b2-d1fb972896ee}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{74a0e67e-4ea8-4ca7-94b2-d1fb972896ee}: [NameServer] = 37.1.207.126

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Lollakin · 24.07.2021, 19:20 **[ТС]**

Вот логи FRST

@severnyj · 24.07.2021, 19:39

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3530545605-1154714619-1740342879-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [pkocadmokmpjeeaimigjpmfpdaighkga]
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-06-09] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
C:\Program Files (x86)\Transmission\
S2 spd3ssl; \??\C:\Program Files (x86)\Spyware Process Detector\spd324.sys [X]
2021-06-30 10:41 - 2021-03-29 13:38 - 000000000 ____D C:\Users\justl\AppData\Local\Media Get LLC
2021-06-28 19:47 - 2021-04-09 16:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\V_К_D_J
giraffe judge 2.3.6.93 (HKLM-x32\...\{810c1839-631e-4a6e-8172-595f255dda30}) (Version: 2.3.6.93 - Lucas Blanchet SA SARL) Hidden
occasion waste 2.1.1.2 (HKLM-x32\...\{4be74089-dc04-44cc-9a98-a7f35887a679}) (Version: 2.1.1.2 - Muller, Quitzon and Moore Group) Hidden
toc (HKU\S-1-5-21-3530545605-1154714619-1740342879-1001\...\toc) (Version: 1.55 - NewGame Dest Corp)
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
C:\Program Files (x86)\360\
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Смените сайт, где Вы качаете игры и программы - Вы повторно заразились!!!

@Lollakin · 24.07.2021, 20:30 **[ТС]**

Воть ФиксЛог

@severnyj · 24.07.2021, 20:40

Что с проблемой?

Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download

@Lollakin · 24.07.2021, 21:36 **[ТС]**

SecurityCheck Log готов

@severnyj · 24.07.2021, 21:49

Примите к сведению:

Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления

XnView 2.49.5 v.2.49.5 Внимание! Скачать обновления

Driver Booster 8 v.8.5.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

@Lollakin · 24.07.2021, 22:14 **[ТС]**

А данные сайты исключить из списка скачиваний? https://4howcrack.com и 1progs.ru (с него я качал iobit uninstalller 10 и активно пытался скачать кряк tenoshare 4ukey, также ещё и с 1progs.ru, с этих сайтов я очень активно пытался скачать 4ukey). И с каких сайтов самый большой риск заразиться?

Добавлено через 15 минут
Ах да, а папки по пути C:\ProgramData\CSGOcalc и C:\ProgramData\RobotDemo удалять вручную? или же нужно их удалять полностью через какие то программы?

@severnyj · 24.07.2021, 22:29

Вручную.

Вообще с варезных сайтов лучше ничего не качать.

@Lollakin · 24.07.2021, 22:34 **[ТС]**

Ок. Спасибо!

@Lollakin 0 / 0 / 0 Регистрация: 18.07.2021 Сообщений: 21
		1
	RobotDemo (CsGoCalc) 18.07.2021, 02:44. Показов 4516. Ответов 12 Метки нет (Все метки) Недавно обнаружил на ноутбуке Майнер, называется RobotDemo, как минимум скрывается под таки названием, находится сразу вместе с CsGoCalc, как они попали на комп? я совершенно без понятия... Прошу помощи CollectionLog-2021.07.18-02.37.zip 0

@Sandor 21558 / 15509 / 2988 Регистрация: 08.10.2012 Сообщений: 63,041
	19.07.2021, 08:16	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Lollakin. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Два антивируса не усиливают, а ослабляют защиту: 360 Total Security Avast Free Antivirus Один оставьте, один удалите. Также удалите нежелательное ПО: IObit Uninstaller 10 Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe'); StopService('Transmission'); DeleteService('Transmission'); DeleteFileMask('c:\program files (x86)\transmission\', '', true); DeleteDirectory('c:\program files (x86)\transmission\'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Подготовьте новый CollectionLog*. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.07.2021, 14:10	4
	Деинсталлируйте нежелательное ПО: giraffe judge 2.3.6.93 [2021/06/09 16:31:19]-->"C:\ProgramData\Package Cache\{810c1839-631e-4a6e-8172-595f255dda30}\install.exe" /uninstall occasion waste 2.1.1.2 [2021/05/19 15:24:16]-->"C:\ProgramData\Package Cache\{4be74089-dc04-44cc-9a98-a7f35887a679}\install.exe" /uninstall , если не получится стандартно, используйте GeekUninstaller или https://github.com/Klocman/Bul... ortable.7z. Пофиксите в HJT C:\Users\justl\Desktop\AutoLogger\HiJackThis\HiJackThis.exe Код O17 - DHCP DNS 1: 178.175.133.58 O17 - DHCP DNS 2: 37.1.207.126 O17 - HKLM\System\CCS\Services\Tcpip\..\{74a0e67e-4ea8-4ca7-94b2-d1fb972896ee}: [NameServer] = 178.175.133.58 O17 - HKLM\System\CCS\Services\Tcpip\..\{74a0e67e-4ea8-4ca7-94b2-d1fb972896ee}: [NameServer] = 37.1.207.126 Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.07.2021, 20:40	8
	Что с проблемой? Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.07.2021, 21:49	10
	Примите к сведению: Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления XnView 2.49.5 v.2.49.5 Внимание! Скачать обновления Driver Booster 8 v.8.5.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. 0

@Lollakin 0 / 0 / 0 Регистрация: 18.07.2021 Сообщений: 21
	24.07.2021, 22:14 [ТС]	11
	А данные сайты исключить из списка скачиваний? https://4howcrack.com и 1progs.ru (с него я качал iobit uninstalller 10 и активно пытался скачать кряк tenoshare 4ukey, также ещё и с 1progs.ru, с этих сайтов я очень активно пытался скачать 4ukey). И с каких сайтов самый большой риск заразиться? Добавлено через 15 минут Ах да, а папки по пути C:\ProgramData\CSGOcalc и C:\ProgramData\RobotDemo удалять вручную? или же нужно их удалять полностью через какие то программы? 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.07.2021, 22:29	12
	Вручную. Вообще с варезных сайтов лучше ничего не качать. 0

@Lollakin 0 / 0 / 0 Регистрация: 18.07.2021 Сообщений: 21
	24.07.2021, 22:34 [ТС]	13
	Ок. Спасибо! 0