Завелся вирус майнер, не могу удалить

@Dissolute · Регистрация: 22.01.2022

Студворк — интернет-сервис помощи студентам

Абсолютно стандартная ситуация , как и у многих тут описанная. Стал тормозить ПК, узнал про вирус майнер , решил проверить: комп включается , прогружаются все процессы , открываю прогу Aida 64 и она показывает загрузку ЦП 60-80% при том что открыт рабочий стол и даже курсором не шевелю , как только запускаю диспетчер задач загрузка ЦП моментально падает до отметки 3-5%. То есть на сколько я понимаю типичная ситуация для вируса майнера. Утилиты типа dr Web cureit и прочие по образу и подобию результатов не дают.

@thyrex · 23.01.2022, 01:39

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Dissolute · 23.01.2022, 11:30 **[ТС]**

Извините пожалуйста , прикрепляю автолог

@thyrex · 23.01.2022, 11:36

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Users\user\AppData\Local\Programs\Ghostery\125f447ffc.msi','');
 DeleteFile('C:\Users\user\AppData\Local\Programs\Ghostery\125f447ffc.msi','64');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3771382720-1727833266-3820007637-1000');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
4
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@Dissolute · 23.01.2022, 12:02 **[ТС]**

Новый Лог

@Dissolute · 23.01.2022, 12:05 **[ТС]**

Подскажите пожалуйста , а так и должно быть , что когда я Запускаю Autologger и ставлю галочки в графе "область поиска" на Диск С D и Е то при запуске галочка автоматически убирается с диска С и сканирование происходит по сути только диска D и Е

@thyrex · 23.01.2022, 12:17

Не нужно менять настройки сканирования. Сканируется только системный диск.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@Dissolute · 23.01.2022, 12:24 **[ТС]**

Прилагаю общий архив

@thyrex · 23.01.2022, 12:34

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3771382720-1727833266-3820007637-1000\...\MountPoints2: {f7fb82a2-c052-11eb-af3d-4061868fc670} - "H:\SuperSeducer3Setup.exe" 
Task: {B62516C6-BBA8-4493-B2CF-68934F3EA3B4} - System32\Tasks\Eventer utilityS-1-5-21-3771382720-1727833266-3820007637-1000 => C:\Users\user\AppData\Local\Mail.Ru\Atom\Application\eventer.exe (Нет файла) <==== ВНИМАНИЕ
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3771382720-1727833266-3820007637-1000\...\{8818e7db-7911-4e08-a7c6-4dbc263417b6}) (Version: 1.0.0.0 - Ghostery) Hidden
Rankfix 1.2.1.58 (HKLM-x32\...\{9603147d-cbb4-42c9-b95a-54c92e03421a}) (Version: 1.2.1.58 - Gallo, Bernardi e Morelli SPA e figli) Hidden
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA​ [16]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

После скрипта

Ghostery - Privacy Ad Blocker 1.0.0.0
Rankfix 1.2.1.58

удалите через Установку программ или принудительно с помощью Geek Uninstaller

@Dissolute · 23.01.2022, 12:40 **[ТС]**

Прикрепляю FIxlog

@thyrex · 23.01.2022, 13:12

Проблема решена?

@Dissolute · 23.01.2022, 13:22 **[ТС]**

Вроде бы да , в Аиде проц не загружается как раньше. Понять с каким скаченным файлом пришел вирус нельзя получается ? Удалились несколько программ с компа (Zona , torrent) в них получается мог сидеть вирус ?

Добавлено через 48 секунд
Спасибо вам огромное за помощь и уделенное время , киньте пожалуйста ссылку как я могу вас отблагодарить.

@thyrex · 23.01.2022, 15:18

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@Dissolute · 23.01.2022, 15:51 **[ТС]**

Прикрепляю

@thyrex · 23.01.2022, 16:06

---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.15.0.18.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.20612 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.02 alpha (x64) v.21.02 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.1.0.2517 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.88 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@Dissolute · 23.01.2022, 16:20 **[ТС]**

Подскажите , все скачанное ПО для удаления майнера могу удалять с ПК ?

@thyrex · 23.01.2022, 16:40

Можете удалить

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@Dissolute 0 / 0 / 0 Регистрация: 22.01.2022 Сообщений: 17

	Завелся вирус майнер, не могу удалить 22.01.2022, 21:51. Показов 2309. Ответов 16 Метки нет (Все метки) Абсолютно стандартная ситуация , как и у многих тут описанная. Стал тормозить ПК, узнал про вирус майнер , решил проверить: комп включается , прогружаются все процессы , открываю прогу Aida 64 и она показывает загрузку ЦП 60-80% при том что открыт рабочий стол и даже курсором не шевелю , как только запускаю диспетчер задач загрузка ЦП моментально падает до отметки 3-5%. То есть на сколько я понимаю типичная ситуация для вируса майнера. Утилиты типа dr Web cureit и прочие по образу и подобию результатов не дают. 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	23.01.2022, 01:39
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Dissolute 0 / 0 / 0 Регистрация: 22.01.2022 Сообщений: 17
	23.01.2022, 12:05 [ТС]
	Подскажите пожалуйста , а так и должно быть , что когда я Запускаю Autologger и ставлю галочки в графе "область поиска" на Диск С D и Е то при запуске галочка автоматически убирается с диска С и сканирование происходит по сути только диска D и Е 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	23.01.2022, 12:17
	Не нужно менять настройки сканирования. Сканируется только системный диск. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	23.01.2022, 13:12
	Проблема решена? 0

@Dissolute 0 / 0 / 0 Регистрация: 22.01.2022 Сообщений: 17
	23.01.2022, 13:22 [ТС]
	Вроде бы да , в Аиде проц не загружается как раньше. Понять с каким скаченным файлом пришел вирус нельзя получается ? Удалились несколько программ с компа (Zona , torrent) в них получается мог сидеть вирус ? Добавлено через 48 секунд Спасибо вам огромное за помощь и уделенное время , киньте пожалуйста ссылку как я могу вас отблагодарить. 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	23.01.2022, 15:18
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

@Dissolute 0 / 0 / 0 Регистрация: 22.01.2022 Сообщений: 17
	23.01.2022, 16:20 [ТС]
	Подскажите , все скачанное ПО для удаления майнера могу удалять с ПК ? 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	23.01.2022, 16:40
	Можете удалить 0