NT Kernel & Systems вирус майнер заражен 2-ой ноутбук - Удаление вирусов - Ответ 14906114

@Sandor · 12.10.2020, 08:22

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя ben3in. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
ExecuteSysClean;
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Вернуться к обсуждению:
NT Kernel & Systems вирус майнер заражен 2-ой ноутбук Удаление вирусов

Следующий ответ

Другие темы раздела
Удаление вирусов Kernel & Systems вирус майнер https://www.cyberforum.ru/ viruses/ thread2709437.html Добрый день! Вирус грузит процессор, температура до 90 градусов поднимается. Открываю диспетчер задач, вирус отключается. Диспетчер вирус закрывает сам примерно через 30-60 секунд. Блокируются сайты с софтом, антивирусами. Антивирусы и автоматический сборщик логов при открытии закрываются автоматически. Проблемы с удалением папок, якобы нет прав администратора. Судя по обращениям сейчас всплеск...	вирус майнер taskhostw.exe realtek hd Удаление вирусов Здравствуйте, недавно поймал майнер на компьютер, я целый день смог только удалить файл taskhostw.exe из system32, но сам вирус ещё остался. Не могу устанавливать никакие антивирусы, в диспетчере задач многие задачи троятся(вместо 1 целых 3). Буду очень благодарен, если кто-то поможет.
Удаление вирусов Удаление вирусов.! Компания предоставляющая интернет услуги заявила что в моём компьютере вирусы. Что бы я не делал ни чего ни получается их удалить. Устанавливал разные антивирусные программы, форматировал жёсткий диск на следующий день сообщение от компании. bot, Malware: isrstealer, C&C Ip: 195.22.26.248, C&C Port: 80, Source Port: 39639 bot, Malware: kratos, C&C Ip: 195.22.26.248, C&C... https://www.cyberforum.ru/ viruses/ thread2709288.html	Удаление вирусов При открытии диспетчера задач нагрузка на ЦП с 50% резко падает на 5-8% Ребята, помогите, пожалуйста, решить проблему.У меня комп radeon rx470, intel xeon 2620 2.4ghz, 16gb оперативки . Собрал пк в конце августа. До конца сентября все было отлично, но потом что то случилось и комп перестал вывозить практически все игры ( в той же кс, когда фпс по дефолту 400, он дропнулся до 120 и меньше, а в смоках комп вообще выключается). Попробовал чекнуть через антивирус,... https://www.cyberforum.ru/ viruses/ thread2709254.html
Майнер microsofthost.exe Удаление вирусов Добрый день. Словил майнера microsofthost.exe. Что загружает мне ЦП при закрытом диспетчере задачи. Помогите с решением этой проблемы пожалуйста.	Удаление вирусов Изворотливый вирус microsofthost.exe Несколько дней назад мой системный блок начал достаточно сильно шуметь. Подозрительным было то, что он недавно чистился, а сама система переустанавливалась около месяца назад; более того, при запуске системы в безопасном режиме он переставал шуметь. Шум также немедленно прекращался при открытии диспетчера задач. Мысли о вирусе появились, когда виджет показателя загрузки ЦП отказал открыться, с... https://www.cyberforum.ru/ viruses/ thread2709016.html
Удаление вирусов Ноутбук стал медленно работать https://www.cyberforum.ru/ viruses/ thread2708985.html Ноутбук Lenovo, куплен 5 лет тому назад. Использую в офисе, в основном стандартные задачи, "1-С Бухгалтерия", программы подбора компрессоров и теплообменного оборудования. Раньше работал нормально, претензий не было. Примерно месяц назад заметил, что стал существенно медленней работать. Любые действия, как открытие файлов (например Word или Excel), переход с одной програмки на другую, вкладки в...	майнер microsofthost.exe, UVS лог Удаление вирусов неожиданно заметил, что пк лагает при работе одного только браузера, зашёл в диспетчер задач и обнаружил процесс "MicrosoftHost", который закрывается сразу, при открытии диспетчера, он то и грузит цп и озу на 100%, uvs прикрепляю. Также при попытке переустановить видовс с загрузочной флешки, bios попросту её не находит
Удаление вирусов Майнер в microsofthost.exe (Логи avz) Все как и у многих , заметил нагрузку цп( виджет реинметер подсказал) через таск менеджер процесс сразу убивается самостоятельно и не палится,через процесс хакер так же ,system explorer все таки спалил файлик этот и как раз таки был этот Microsofthost.exe. Autologger-ом все логи не могу произвести так как авз отказывается через него запускаться, так же отдельно авз не запускается приходится его... https://www.cyberforum.ru/ viruses/ thread2708838.html	Удаление вирусов Вирус подгружается при запуске системы Добрый день! Первый раз пишу на форму, сори, если тупить буду. Обнаружил сильную загрузку цп и диска, проверил, процессы svchost.exe и lsass.exe запущены от моего имени, несистемные файлы. Находятся в папке /Temp. Также загрузился редактор реестра, который диспетчер задач отрубает. Редактор, вроде, пофиксил, svchost и lsass удалял, но файл, который их при ребуте загружает я не могу найти. Как... https://www.cyberforum.ru/ viruses/ thread2708792.html
Удаление вирусов Периодические фризы в работе курсора мыши При ненагруженном процессоре и оперативке, в простое периодически подтормаживает курсор мыши. Началось внезапно при нормальных условиях работы. Пропадает также внезапно. В диспетчере задач нет паразитных процессов.	Удаление вирусов Вирус в браузере после запуска винды Всем привет. Ребят подцепил где то вирус. После запуска Винды автоматически запускается браузер Мазила через Exinariuminix.info. https://www.cyberforum.ru/ viruses/ thread2707916.html

	12.10.2020, 08:22