Скрытый майнер, удалить не получается

@dimprist · Регистрация: 11.02.2019

Author24 — интернет-сервис помощи студентам

Зацепил скрытый майнер, после загрузки системы через несколько секунд все виснет, после запуска диспетчера задач все приходит в норму, переустановил windows с полным форматированием диска, не помогло. Помогите.

@thyrex · 22.05.2022, 16:50

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@dimprist · 22.05.2022, 17:06 **[ТС]**

Сделал Log

@dimprist · 22.05.2022, 17:12 **[ТС]**

Вот Log

@Sandor · 23.05.2022, 10:52

В логах нет ничего подозрительного (вирусоподобного).

Сообщение от dimprist

после запуска диспетчера задач все приходит в норму

Кратковременный скачок при запуске Диспетчера - нормальное поведение.

@dimprist · 25.05.2022, 18:25 **[ТС]**

Дело в том, что ПК начинает работать, только когда запускаю диспетчер задач. Т. Е включаю ПК, через несколько секунд после загрузки комп виснет, не работает меню пуск, как только запускаю диспетчер всё начинает работать. Переустановка винды с форматированием диска, сканирование касперский secure,disk не помогает. Вы пишите в логах всё чисто, что тогда вирус в биосе сидит?

@Sandor · 26.05.2022, 09:41

Запустите систему в безопасном режиме и проверьте. Там также?

@dimprist · 28.05.2022, 21:20 **[ТС]**

Да, в безопасном режиме также, проверил.

@Sandor · 29.05.2022, 11:53

В таком случае это больше похоже на проблемы с "железом".

Соберите ещё такие логи в нормальном режиме:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@dimprist · 29.05.2022, 19:17 **[ТС]**

Сделал

@Sandor · 29.05.2022, 20:56

Видны следы майнера, хотя в начальных логах их не было.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@thyrex · 29.05.2022, 21:22

Сообщение от Sandor

Видны следы майнера, хотя в начальных логах их не было.

Потому что в первых логах семерка, а в последних - десятка.

@dimprist · 29.05.2022, 22:43 **[ТС]**

сделал

@dimprist · 29.05.2022, 22:44 **[ТС]**

Я переустановил систему на десятку, т.к не знаю уже,что делать.

@Sandor · 30.05.2022, 08:08

Сообщение от dimprist

переустановил систему на десятку

Об этом хорошо бы сообщать консультанту.

Соберите логи Farbar.

@dimprist · 30.05.2022, 09:11 **[ТС]**

Сделал

@dimprist · 30.05.2022, 09:14 **[ТС]**

Сделал логи

@Sandor · 30.05.2022, 09:36

Внимание! Рекомендации написаны специально для пользователя dimprist. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-18\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-18\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
Task: {A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ
Task: {C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance -> Нет файла <==== ВНИМАНИЕ
Task: {E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular -> Нет файла <==== ВНИМАНИЕ
Task: {F3179783-B38B-43DC-8EB1-6E82849A5036} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ
Task: {F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4210085847-3977431549-3043792479-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{7FC757D0-08C0-4C37-B0BB-5714DBDB8A27}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{FD6A828F-C3C0-4F67-828E-A082959FD2DC}] => (Allow) LPort=9393
FirewallRules: [{AC8820CD-3B15-4DCB-878B-336F1199F4AB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CF3D2E24-55B2-4B83-9CCA-05FED5B7D0D9}] => (Allow) LPort=9494
FirewallRules: [{F3ED23F8-B804-4E60-B42D-A7345D16CE80}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{5007BD65-8738-455A-A090-052BF776B2BF}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{FFB4B786-4168-4A87-9158-FEA3CAC8EC87}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{70DEBBA2-921D-4C1D-B773-9B52864CD6C2}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{EACFD421-1C97-418A-981D-8084EFE11632}] => (Allow) LPort=9393
FirewallRules: [{6FF0AB7C-61F9-48A8-8B49-37C1F8552CBA}] => (Allow) LPort=9494
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Скрипт может выполняться долго, не прерывайте и дождитесь окончания.

@dimprist · 30.05.2022, 14:07 **[ТС]**

Все сделал, но после перезагрузки опять все тоже самое.

@Sandor · 30.05.2022, 14:17

По отчёту видно:

Программа защиты ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них.

Как я предполагал ранее, либо с железом проблемы, либо с системой.

Для верности сделайте ещё такой лог:
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
		1
	Скрытый майнер, удалить не получается 22.05.2022, 16:46. Показов 1524. Ответов 23 Метки нет (Все метки) Зацепил скрытый майнер, после загрузки системы через несколько секунд все виснет, после запуска диспетчера задач все приходит в норму, переустановил windows с полным форматированием диска, не помогло. Помогите. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	22.05.2022, 16:50	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
	22.05.2022, 17:12 [ТС]	4
	Вот Log 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	23.05.2022, 10:52	5
	В логах нет ничего подозрительного (вирусоподобного). Сообщение от dimprist после запуска диспетчера задач все приходит в норму Кратковременный скачок при запуске Диспетчера - нормальное поведение. 0

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
	25.05.2022, 18:25 [ТС]	6
	Дело в том, что ПК начинает работать, только когда запускаю диспетчер задач. Т. Е включаю ПК, через несколько секунд после загрузки комп виснет, не работает меню пуск, как только запускаю диспетчер всё начинает работать. Переустановка винды с форматированием диска, сканирование касперский secure,disk не помогает. Вы пишите в логах всё чисто, что тогда вирус в биосе сидит? 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	26.05.2022, 09:41	7
	Запустите систему в безопасном режиме и проверьте. Там также? 0

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
	28.05.2022, 21:20 [ТС]	8
	Да, в безопасном режиме также, проверил. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	29.05.2022, 11:53	9
	В таком случае это больше похоже на проблемы с "железом". Соберите ещё такие логи в нормальном режиме: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	29.05.2022, 20:56	11
	Видны следы майнера, хотя в начальных логах их не было. Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	29.05.2022, 21:22	12
	Сообщение от Sandor Видны следы майнера, хотя в начальных логах их не было. Потому что в первых логах семерка, а в последних - десятка. 1

	30.05.2022, 14:17

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
	29.05.2022, 22:44 [ТС]	14
	Я переустановил систему на десятку, т.к не знаю уже,что делать. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	30.05.2022, 08:08	15
	Сообщение от dimprist переустановил систему на десятку Об этом хорошо бы сообщать консультанту. Соберите логи Farbar. 0

@dimprist 0 / 0 / 0 Регистрация: 11.02.2019 Сообщений: 18
	30.05.2022, 09:11 [ТС]	16
	Сделал 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	30.05.2022, 14:17	20
	По отчёту видно: Программа защиты ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них. Как я предполагал ранее, либо с железом проблемы, либо с системой. Для верности сделайте ещё такой лог: Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. 0