• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте, чтобы узнать больше. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Помогите разобраться с майнерами

M

miner1337

Ученик
Регистрация
31 Мар 2018
Сообщения
8
Реакции
0
Баллы
0
Помогите разобраться с майнерами

Обнаружил у себя 2 вида майнера: conhost64.exe (C:\windows\SysWOW64\conhost64.exe) и msiexec64.exe(C:\USER\Aser\Appdata\Local\BitTorrent\msiexec64.exe). Однажды у меня получилось удалить msiexec64.exe, находился тоже в Local, но в другой папке, я разблокировал доступ, удалил файлы и затёр диск с помощью AusLogics BoostSpeed, чтобы файлы не восстановились, и у меня получилось. Позже я проверил все папки в Local и нашёл там около 3 таких майнеров, файлы одного из которых были заблокированы. Я удалил все файлы и после затёр диск. Сегодня один майнер восстановился в папке BitTorrent, а другие нет. С conhost64.exe та же проблема, то есть после удаления и затирания файл восстановился. Помогите, пожалуйста!

P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)
 
Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена
Код: 
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
setdns SecureLine\4\{5E2EC62F-74A3-4B90-A13B-9EB47FE0023F}\8.8.8.8,8.8.4.4
delref HTTP://CR-WHITE.NET/DUCXCACEQVIU.QOO
delref HTTP://SUBOUTMY.NET/FVYRKUJUGTJV.QKP
delref %SystemDrive%\USERS\ASER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EEOCKNBJPMFGACLENCNFJFKKLMMFMIIE\3.0.3_0\SCRIPTGATE
delall %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
delall %SystemDrive%\USERS\ASER\APPDATA\LOCAL\BITTORRENT\MSIEXEC64.EXE
deltmp
delnfr
restart
После перезагрузки выполните сканирование в Malwarebytes
 
готово, что дальше?
 

Вложения

  • scan.txt
    scan.txt
    20.6 KB · Просмотры: 477
Если Auslogics BoostSpeed пользуетесь то галочки с записей
Код: 
CrackTool.Agent
PUP.Optional.AuslogicsBoostSpeed
PUP.Optional.RussAd
снять, остальное все удалить. Если не пользуетесь то все удалить. Кроме
Код: 
PUP.Optional.RussAd

Далее
сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие и вы ими пользуетесь в противном случае снимать не нужно)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
 
АдвКлинер нашёл что-то с boostspeed в названии, чем я пользуюсь, тоже удалять?
 
Кроме
Код: 
PUP.Optional.RussAd
Что это, я это удалил, т.к. либо вы исправили своё сообщение, либо я не увидел это "кроме".
 
Ладно, я погуглил что это и понял, что это не смертельно. я оставлю BoostSpeed и перейду к слкдующему шагу.
 
это всё, что FRST успел отсканировать перед появлением ошибки сканирования (75919)
 

Вложения

Следов активного майнера в системе больше не наблюдается. Затираем хвосты...
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему
Код: 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
Task: {106C8F53-C9FB-43AC-B907-F7DD4CF73A5F} - \{26837003-E6AA-4BDE-A187-AC290D157BE4} -> No File <==== ATTENTION
Task: {11BA7E3D-886D-4FBA-B885-8405F4F9303A} - \{DA8723CB-2899-408E-8B9F-610B78497E6D} -> No File <==== ATTENTION
Task: {3D53F22F-594D-4781-A2FB-1AB091759E15} - \zokidifcomkui -> No File <==== ATTENTION
Task: {439BF676-77D7-4CC0-8032-A08D29D00B20} - \{BDB0501C-DABF-408D-B360-3DDF57A78ED3} -> No File <==== ATTENTION
EmptyTemp:
Reboot:

miner1337 написал(а):
АдвКлинер нашёл что-то с boostspeed в названии, чем я пользуюсь, тоже удалять?
Нажмите для раскрытия...
Если пользуетесь то не нужно
miner1337 написал(а):
Что это, я это удалил, т.к. либо вы исправили своё сообщение, либо я не увидел это "кроме".
Нажмите для раскрытия...
Да это мой косяк. Чуть позже подправил. Это расширение для браузера - Rutube. В принципе можете заново поставить если он вам нужен.
 
Активности майнеров не наблюдаю, спасибо. Я не мог выходить некоторое время в интеренет, но вот фикс лог.
 

Вложения

Войдите или зарегистрируйтесь для ответа.

Похожие темы

F
Словил майнер с троянами, удалил, но это не точно, помогите разобраться.
Ответы
0
Просмотры
782
Feimah
F
Назад
Сверху