Вирус майнер закрывает браузер если на экране появляется слово "майнер" и автоматически закрывает AppData

@globetrotting · Регистрация: 21.05.2023

Author24 — интернет-сервис помощи студентам

Добрый день.
При установке программы Ansys возникала ошибка в которой говорилось, что в папке Fonts не хватает MySQL. Погуглив узнал, что это майнер, при этом при появлении слова "майнер" браузер закрывается. Папка AppData тоже закрывается. Прошу помочь. Прикрепляю логи.

@globetrotting · 21.05.2023, 14:19 **[ТС]**

Повторно запустил AVbr от имени админа и запустил Avtologer, прикрепляю логи

@thyrex · 21.05.2023, 17:02

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

Код

O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf: [CLSID] = (no CLSID) - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) -  - (no file)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.3.3.234\service_update.exe (file missing)
O22 - Tasks: \Microsoft\Windows\SysFilesT\RecoveryHosts - C:\Programdata\Microsoft\saygq\script.bat
O22 - Tasks: \Microsoft\Windows\SysFilesT\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\SysFilesT\saygq - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\BackUpFiles - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\MasterData - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OfficeCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\21.3.3.234\service_update.exe --repair (file missing)

После перезагрузки всё выполняйте в обычном режиме загрузки.

Еще раз запустите AV_block_remove и пришлите его новый лог.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@globetrotting · 22.05.2023, 22:58 **[ТС]**

Добрый вечер.
Указанные команды выполнил. Браузер перестал выключаться)

@thyrex · 23.05.2023, 06:35

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@globetrotting · 23.05.2023, 13:34 **[ТС]**

Сделано

@thyrex · 24.05.2023, 19:36

C:\Users\Kirill\Downloads\KMSAuto++ Portable 1.7.9 by Ratiborus.zip

размером больше 200 Мбайт в архиве либо

C:\Users\Kirill\Downloads\KMS Tools Portable_pass_2023.7z

размером более 300 Мбайт в архиве и есть потенциальные источники Ваших бед.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-386449865-3163537152-2139956805-500\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-386449865-3163537152-2139956805-500\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 __SHD C:\Program Files\RogueKiller
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 ____D C:\ProgramData\RobotDemo
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 ____D C:\ProgramData\PuzzleMedia
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 ____D C:\ProgramData\FingerPrint
2023-05-21 14:05 - 2023-05-21 14:05 - 000000000 ____D C:\ProgramData\BookManager
2023-05-14 18:51 - 2023-05-22 22:21 - 000000000 ____D C:\ProgramData\Windows Tasks Service
2023-05-14 18:51 - 2023-05-22 22:21 - 000000000 ____D C:\Program Files\RDP Wrapper
2023-05-14 18:51 - 2023-05-14 18:51 - 000000000 __SHD C:\Users\Kirill\Downloads\AV_block_remover
2023-05-14 18:51 - 2023-05-14 18:51 - 000000000 __SHD C:\Users\Kirill\Desktop\AV_block_remover
2023-05-14 18:51 - 2023-05-14 18:51 - 000000000 ____D C:\Windows\speechstracing
2023-05-14 18:51 - 2023-05-14 18:51 - 000000000 ____D C:\Users\Kirill\AppData\Roaming\RMS_settings
2023-05-14 18:50 - 2023-05-22 22:21 - 000000000 ____D C:\ProgramData\WindowsTask
2023-05-14 18:50 - 2023-05-22 22:21 - 000000000 ____D C:\ProgramData\ReaItekHD
2023-05-14 18:50 - 2023-05-22 22:21 - 000000000 ____D C:\ProgramData\Install
2023-05-14 18:50 - 2023-05-21 13:43 - 000000000 ____D C:\ProgramData\System32
2023-05-14 18:50 - 2023-05-14 18:50 - 000000000 ____D C:\ProgramData\RunDLL
2023-05-14 18:49 - 2023-05-22 22:21 - 000000000 ____D C:\ProgramData\Setup
FirewallRules: [TCP Query User{39BC5F59-4A76-494E-8597-C2A4C8AD662C}F:\1\exalead_search_doc\windows64\1\inst\win_b64\code\bin\dsyinsappligui.exe] => (Allow) F:\1\exalead_search_doc\windows64\1\inst\win_b64\code\bin\dsyinsappligui.exe => Нет файла
FirewallRules: [UDP Query User{0401A6F2-D366-4E5C-B285-1288914CD39B}F:\1\exalead_search_doc\windows64\1\inst\win_b64\code\bin\dsyinsappligui.exe] => (Allow) F:\1\exalead_search_doc\windows64\1\inst\win_b64\code\bin\dsyinsappligui.exe => Нет файла
FirewallRules: [TCP Query User{6734363A-DAEE-477B-887F-C651C45747AD}C:\users\kirill\appdata\local\temp\ans_install_tmp5932\ansyscl.exe] => (Allow) C:\users\kirill\appdata\local\temp\ans_install_tmp5932\ansyscl.exe => Нет файла
FirewallRules: [UDP Query User{66B1DDB6-5872-441F-8F60-435431F2452C}C:\users\kirill\appdata\local\temp\ans_install_tmp5932\ansyscl.exe] => (Allow) C:\users\kirill\appdata\local\temp\ans_install_tmp5932\ansyscl.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@globetrotting · 24.05.2023, 20:02 **[ТС]**

Есть

@thyrex · 24.05.2023, 21:15

Проблема решена?

@globetrotting · 24.05.2023, 21:17 **[ТС]**

Да, все работает, ЦП не загружается, а браузер не закрывается.
Огромное спасибо!

@thyrex · 24.05.2023, 22:16

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	23.05.2023, 06:35	5
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 1

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	24.05.2023, 21:15	9
	Проблема решена? 0

@globetrotting 0 / 0 / 0 Регистрация: 21.05.2023 Сообщений: 6
	24.05.2023, 21:17 [ТС]	10
	Да, все работает, ЦП не загружается, а браузер не закрывается. Огромное спасибо! 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	24.05.2023, 22:16	11
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0