Поймал майнер, svhost

@kill1ha1shi1 · Регистрация: 24.11.2021

Author24 — интернет-сервис помощи студентам

Доброго времени суток
Помоги избавиться от майнера
AntiMalaware находит вирусы но удалить их не может, adwcleaner же их не видит
Пишет, что майнер в папке svhost
Логи с autologger прикреплю

@kill1ha1shi1 · 24.11.2021, 07:16 **[ТС]**

Так же при запуске пк запускается opera gx с рекламной вкладкой world of tanks
Найти корень зла не могу уже несколько часов

@kill1ha1shi1 · 24.11.2021, 07:48 **[ТС]**

Свежие логи
плюс сайт форума вечно закрывается вирусом

@kill1ha1shi1 · 24.11.2021, 09:19 **[ТС]**

Мне кажется, что я поборол его
Сможет кто глянуть логи?

@Sandor · 24.11.2021, 10:00

Здравствуйте!

Файл Hosts правили самостоятельно?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@kill1ha1shi1 · 24.11.2021, 10:41 **[ТС]**

Сообщение от Sandor

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы

Добрый вечер
Правил с помощью утилиты AV block remover

@Sandor · 24.11.2021, 10:50

Внимание! Рекомендации написаны специально для пользователя kill1ha1shi1. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1417980505-3429215492-3355246158-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@kill1ha1shi1 · 24.11.2021, 10:56 **[ТС]**

Сообщение от Sandor

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнил, вот логфикс

@Sandor · 24.11.2021, 10:57

Что сейчас с проблемой?

@kill1ha1shi1 · 24.11.2021, 10:59 **[ТС]**

Проблему устранил, с помощью программы. Хотел убедиться, что всё вычистил.

@Sandor · 24.11.2021, 11:01

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@kill1ha1shi1 · 24.11.2021, 11:11 **[ТС]**

Сделано, программу можно удалять?

@Sandor · 24.11.2021, 11:13

Да.

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@kill1ha1shi1 1 / 1 / 0 Регистрация: 24.11.2021 Сообщений: 21
	24.11.2021, 07:16 [ТС]	2
	Так же при запуске пк запускается opera gx с рекламной вкладкой world of tanks Найти корень зла не могу уже несколько часов 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,197
	24.11.2021, 10:00	5
	Здравствуйте! Файл Hosts правили самостоятельно? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,197
	24.11.2021, 10:50	7
	Сообщение было отмечено kill1ha1shi1 как решение Решение Внимание! Рекомендации написаны специально для пользователя kill1ha1shi1. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1417980505-3429215492-3355246158-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,197
	24.11.2021, 10:57	9
	Что сейчас с проблемой? 0

@kill1ha1shi1 1 / 1 / 0 Регистрация: 24.11.2021 Сообщений: 21
	24.11.2021, 10:59 [ТС]	10
	Проблему устранил, с помощью программы. Хотел убедиться, что всё вычистил. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,197
	24.11.2021, 11:01	11
	В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,197
	24.11.2021, 11:13	13
	Да. ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Читайте Рекомендации после удаления вредоносного ПО 0

Поймал майнер, svhost

Решение