Майнер/троян

@Onari · Регистрация: 19.02.2023

Студворк — интернет-сервис помощи студентам

В последнее время часто ноутбук шумит как взлетная площадка, пока не запущу диспетчер задач, с его запуском все затихает.
Проверила сначала через дефендер, нашел Trojan:MSIL/r77Rootkit.A!MTB и Trojan:Win64/CoinMiner. ES!MTB
сделала проверку через Malwarebytes(текстовый документ прикрепила),поместила все в карантин. После этого начало постоянно вылазить окно о блокировке сайта из-за троянских программ идущего из C:\Windows\System32\dialer.exe

@thyrex · 19.02.2023, 21:30

В МВАМ удалите

Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TRE E\dialersvc32, Проигнорировано пользователем, 5376, 1046435, , , , , ,
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TAS KS\{25CD68EA-4136-4588-954D-C2F28844B356}, Проигнорировано пользователем, 5376, 1046435, , , , , ,
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOO T\{25CD68EA-4136-4588-954D-C2F28844B356}, Проигнорировано пользователем, 5376, 1046435, , , , , ,
Trojan.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TRE E\GoogleUpdateTaskMachineQC, Проигнорировано пользователем, 551, 1047226, , , , , ,
Trojan.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TAS KS\{3B6B036E-0CD1-44B5-ADBC-A39AA6BC7CE0}, Проигнорировано пользователем, 551, 1047226, , , , , ,
Trojan.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOO T\{3B6B036E-0CD1-44B5-ADBC-A39AA6BC7CE0}, Проигнорировано пользователем, 551, 1047226, , , , , ,
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TRE E\dialersvc64, Проигнорировано пользователем, 5376, 1046435, , , , , ,
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TAS KS\{D33F141C-A962-4552-9E3C-A9451C4DCFE1}, Проигнорировано пользователем, 5376, 1046435, , , , , ,
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOO T\{D33F141C-A962-4552-9E3C-A9451C4DCFE1}, Проигнорировано пользователем, 5376, 1046435, , , , , ,

Trojan.Agent, HKLM\SOFTWARE|DIALERSTAGER, Проигнорировано пользователем, 472, 1046527, 1.0.65877, , ame, , ,
Trojan.Agent, HKLM\SOFTWARE\WOW6432NODE|DIALERSTAGER, Проигнорировано пользователем, 472, 1046527, 1.0.65877, , ame, , ,

остальное не трогайте

GridinSoft Anti-Malware [2023/02/19 10:23:04]-->C:\Program Files\GridinSoft Anti-Malware\uninst.exe
Malwarebytes version 4.5.22.236 [20230219]-->"C:\Program Files\Malwarebytes\Anti-Malware\mb4uns.exe"
Panda Dome [2022/03/11 21:04:39]-->"C:\Program Files (x86)\Panda Security\Panda Security Protection\Setup.exe" /X{5394BFC2-EA73-4BD5-83DC-9CE8A816546B}

слишком много защитного ПО. Нужно оставить что-то одно.

После этого сделайте новые логи по правилам.

@Onari · 20.02.2023, 07:55 **[ТС]**

Софт лишний удалила. А по поводу первого пункта у меня, возможно глупый, но вопрос: удалить в MBAME в плане с карантина убрать или как-

@Sandor · 20.02.2023, 10:14

Сообщение от Onari

удалить в MBAME в плане с карантина убрать или как

Помечаете галочкой указанные строки и затем нажимаете "Поместить в карантин".

@Onari · 20.02.2023, 21:26 **[ТС]**

Так, поместила в карантин, вот логи
(не знаю имеет ли значение, но посередине сборки логов сбросилась галочка с диска С)

@Sandor · 21.02.2023, 10:44

Дополнительно деинсталлируйте нежелательное ПО:

Web Companion

Далее - подготовьте и прикрепите лог сканирования AdwCleaner.

@Onari · 21.02.2023, 14:59 **[ТС]**

Так, Web Companion удалила, вот логи

@Sandor · 21.02.2023, 15:30

Внимание! Рекомендации написаны специально для пользователя Onari. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
Убедитесь, что закрыты все браузеры.
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Onari · 21.02.2023, 16:03 **[ТС]**

Сделала

@Sandor · 21.02.2023, 16:26

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [3442]
AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [3442]
AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1:A416BDA264 [3442]
AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [3442]
AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log_backup1:C3CA1050CA [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk:74809202C5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Onari · 21.02.2023, 21:14 **[ТС]**

Так, сделала
но оно вроде не перезагрузило после завершения программы, так что вручную сделала

@Sandor · 22.02.2023, 09:16

Ещё один небольшой скрипт выполните в безопасном режиме.

Выделите следующий код:

Code
1
2
3
4
5
6
Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\ASER
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\system32\config\systemprofile
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сообщите как обстоят дела с проблемой.

@Onari · 22.02.2023, 18:53 **[ТС]**

Все работает просто шикарно! Спасибо!

@Sandor · 23.02.2023, 11:37

Хорошо, в завершение:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Onari · 23.02.2023, 20:59 **[ТС]**

готово

@Sandor · 25.02.2023, 12:58

Исправляйте:
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.21.10.2 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
TeamViewer v.15.29.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 v.5.80 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
Skype, версия 8.85 v.8.85 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u361-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 15.3.5 v.15.3.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX & Plugins 64-bit v.32.0.0.321 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.46 v.95.0.4635.46 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.110.0.5481.104 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.09 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CCleaner 2.11.11 v.2.11.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@Onari 0 / 0 / 0 Регистрация: 19.02.2023 Сообщений: 8
	20.02.2023, 07:55 [ТС]
	Софт лишний удалила. А по поводу первого пункта у меня, возможно глупый, но вопрос: удалить в MBAME в плане с карантина убрать или как- 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	21.02.2023, 15:30
	Внимание! Рекомендации написаны специально для пользователя Onari. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome Убедитесь, что закрыты все браузеры. В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	23.02.2023, 11:37
	Хорошо, в завершение: 1. Деинсталлируйте Malwarebytes. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	25.02.2023, 12:58
	Исправляйте: --------------------------- [ OtherUtilities ] ---------------------------- AMD Software v.21.10.2 Внимание! Скачать обновления Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ TeamViewer v.15.29.4 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.80 v.5.80 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9005 Внимание! Скачать обновления Zoom v.5.10.4 (5035) Внимание! Скачать обновления Skype, версия 8.85 v.8.85 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u361-windows-x64.exe - Windows Offline (64-bit))^ -------------------------------- [ Media ] -------------------------------- K-Lite Mega Codec Pack 15.3.5 v.15.3.5 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 ActiveX & Plugins 64-bit v.32.0.0.321 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Opera Stable 95.0.4635.46 v.95.0.4635.46 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Google Chrome v.110.0.5481.104 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner v.6.09 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. CCleaner 2.11.11 v.2.11.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Читайте Рекомендации после удаления вредоносного ПО 1