Вирус майнер Robot.Demo. Как его удалить?

@rutulets · Регистрация: 10.01.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте! На днях при установке русификатора поймал вирус, который грузит систему. Защитник Windows ругается на robotdemo.exe В папке programm data есть такая папка. удалив ее, при перезагрузке она восстанавливается.CollectionLog-2021.09.29-09.42.zip

@Sandor · 29.09.2021, 10:28

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя rutulets. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Driver Booster 8
MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@rutulets · 29.09.2021, 11:31 **[ТС]**

CollectionLog-2021.09.29-11.30.zip

@Sandor · 29.09.2021, 11:37

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@rutulets · 29.09.2021, 11:56 **[ТС]**

Addition и FRST.rar

@Sandor · 29.09.2021, 12:13

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://www.youtube.com; hxxps://zarabotok-online.xyz
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{04bd45f1-093b-4f7e-9daa-945093b151af}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
cheetah deny 1.4.8.46 (HKLM-x32\...\{2fccd124-fa2d-4be6-b5c5-5e8f03ddeafd}) (Version: 1.4.8.46 - Empresa Asensio y Asoc.) Hidden
hedgehog talk 2.4.3.43 (HKLM-x32\...\{c28d7dcc-5a01-40fd-8c1d-663360c3cb19}) (Version: 2.4.3.43 - Fabbri s.r.l. SPA) Hidden
AlternateDataStreams: C:\Users\user\Desktop\Послужной список.odt:com.dropbox.attrs [54]
FirewallRules: [{4BFBBBA0-7E77-4F6D-9338-A64E5587872C}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{38C99C36-3259-4481-83B5-30F06EE28558}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{FBCC9395-013E-4AA2-B471-5DFCBEAA6E40}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{3987045B-AAA1-4D66-9590-F6DB68409FDF}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{C8682B42-B64C-44E8-A0CA-C4BBF8BB9AFD}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣獱慣⹯硥e => Нет файла
FirewallRules: [{135324AB-4695-42E9-B2E6-54E5244DAFAA}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{AB569DAC-C353-482F-9AE1-6DDB1BE074B7}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{D77DBBD0-0E2A-454F-B6BE-9856B10269CF}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣畭呐攮數 => Нет файла
FirewallRules: [{B92C485C-50C5-42A9-B6E4-670538673A2A}] => (Allow) LPort=8299
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появятся скрытые ранее

Blocks all annoying Ads 1.0.0.0
cheetah deny 1.4.8.46
hedgehog talk 2.4.3.43

Удалите через Uninstall Tool или принудительно через Geek Uninstaller

@rutulets · 29.09.2021, 12:36 **[ТС]**

Fixlog.txt

@Sandor · 29.09.2021, 12:53

Сообщение от Sandor

появятся скрытые ранее

Удалили?

Что с проблемой?

@rutulets · 29.09.2021, 12:55 **[ТС]**

Удалил все указанные программы. Как находить такие скрытые программы, которые установлены в систему?

Добавлено через 55 секунд
Спасибо! Вроде как не наблюдаю больше зависаний.

@Sandor · 29.09.2021, 12:57

Сообщение от rutulets

Как находить такие скрытые программы

Например, через HijackThis. Но действовать нужно аккуратно. Некоторые легальные программы тоже устанавливаются с атрибутом скрытый.

В завершение:

1. Выполните процедуру, описанную на этой странице.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@rutulets · 29.09.2021, 14:51 **[ТС]**

Ссылка на результаты анализа https://defendium.info/aqs/qr_... 6BD04B0330

@Sandor · 29.09.2021, 14:59

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.2.0.4 v.7.2.0.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46074 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.4.15 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.005.20060 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.93.0.4577.82 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Читайте Рекомендации после удаления вредоносного ПО

@rutulets · 29.10.2021, 10:22 **[ТС]**

Данный вирус вновь появился в системе. Не стал писать новую тему, а решил продолжить тут же (не знаю правильно это или нет). Снова собрал лог

@rutulets · 29.10.2021, 10:28 **[ТС]**

В hijack вижу скрытые непонятные программы Plusstock 1.3.3.54 и Launcher Prerequisites (x64)

@Sandor · 29.10.2021, 10:32

Сообщение от rutulets

вирус вновь появился в системе

Проанализируйте действия пользователей компьютера. Все ли последние рекомендации были выполнены? Не отключался ли антивирус (Защитник), контроль учётных записей? И т.д.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', '');
 DeleteSchedulerTask('BlockerTopLogonUpdate');
 DeleteFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
4
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@rutulets · 29.10.2021, 10:52 **[ТС]**

2021.10.29_quarantine_4bef3284a03efd5f04 47092e68b11a93.7z

@rutulets · 29.10.2021, 10:58 **[ТС]**

Вот новый лог

@Sandor · 29.10.2021, 11:01

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@rutulets · 29.10.2021, 11:12 **[ТС]**

Вот логи

@Sandor · 29.10.2021, 11:20

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps//find-it.pro/?utm_source=distr_m
2021-10-25 08:35 - 2021-10-28 11:15 - 000000000 ____D C:\ProgramData\RobotDemo
2021-09-29 09:25 - 2021-09-29 09:26 - 000000000 ____D C:\Users\user\AppData\Local\transmission
Plusstock 1.3.3.54 (HKLM-x32\...\{51d2718e-97f7-482e-b342-a82a28490653}) (Version: 1.3.3.54 - Zayas de Segovia e Hija e Hijo) Hidden
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Plusstock 1.3.3.54 деинсталлируйте.

Сообщение от rutulets

Launcher Prerequisites

Это от игры.

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14

	Вирус майнер Robot.Demo. Как его удалить? 29.09.2021, 09:49. Показов 10141. Ответов 24 Метки нет (Все метки) Здравствуйте! На днях при установке русификатора поймал вирус, который грузит систему. Защитник Windows ругается на robotdemo.exe В папке programm data есть такая папка. удалив ее, при перезагрузке она восстанавливается.CollectionLog-2021.09.29-09.42.zip 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 11:31 [ТС]
	CollectionLog-2021.09.29-11.30.zip 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	29.09.2021, 11:37
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 11:56 [ТС]
	Addition и FRST.rar 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 12:36 [ТС]
	Fixlog.txt 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 12:55 [ТС]
	Удалил все указанные программы. Как находить такие скрытые программы, которые установлены в систему? Добавлено через 55 секунд Спасибо! Вроде как не наблюдаю больше зависаний. 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	29.09.2021, 14:59
	--------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- LibreOffice 7.2.0.4 v.7.2.0.4 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46074 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- iTunes v.12.11.4.15 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat DC v.21.005.20060 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Google Chrome v.93.0.4577.82 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Читайте Рекомендации после удаления вредоносного ПО 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.10.2021, 10:28 [ТС]
	В hijack вижу скрытые непонятные программы Plusstock 1.3.3.54 и Launcher Prerequisites (x64) 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.10.2021, 10:52 [ТС]
	2021.10.29_quarantine_4bef3284a03efd5f04 47092e68b11a93.7z 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	29.10.2021, 11:01
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0