Помогите разобраться с майнерами

miner1337 · 31.03.2018, 21:40

Обнаружил у себя 2 вида майнера: conhost64.exe (C:\windows\SysWOW64\conhost64.exe) и msiexec64.exe(C:\USER\Aser\Appdata\Local\BitTorren t\msiexec64.exe). Однажды у меня получилось удалить msiexec64.exe, находился тоже в Local, но в другой папке, я разблокировал доступ, удалил файлы и затёр диск с помощью AusLogics BoostSpeed, чтобы файлы не восстановились, и у меня получилось. Позже я проверил все папки в Local и нашёл там около 3 таких майнеров, файлы одного из которых были заблокированы. Я удалил все файлы и после затёр диск. Сегодня один майнер восстановился в папке BitTorrent, а другие нет. С conhost64.exe та же проблема, то есть после удаления и затирания файл восстановился. Помогите, пожалуйста!

P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)

Vladimir_S · 31.03.2018, 21:45

Цитата:

Сообщение от miner1337

P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)

Вам и не надо разбираться. А вот что надо обязательно сделать, так это выложить логи программ. Подробнее — здесь.

miner1337 · 31.03.2018, 22:15

вот, но вроде conhost64.exe не видит, но вот

Гризлик · 31.03.2018, 22:45

Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
setdns SecureLine\4\{5E2EC62F-74A3-4B90-A13B-9EB47FE0023F}\8.8.8.8,8.8.4.4
delref HTTP://CR-WHITE.NET/DUCXCACEQVIU.QOO
delref HTTP://SUBOUTMY.NET/FVYRKUJUGTJV.QKP
delref %SystemDrive%\USERS\ASER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EEOCKNBJPMFGACLENCNFJFKKLMMFMIIE\3.0.3_0\SCRIPTGATE
delall %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
delall %SystemDrive%\USERS\ASER\APPDATA\LOCAL\BITTORRENT\MSIEXEC64.EXE
deltmp
delnfr
restart

После перезагрузки выполните сканирование в Malwarebytes

miner1337 · 31.03.2018, 23:45

готово, что дальше?

Гризлик · 31.03.2018, 23:54

Если Auslogics BoostSpeed пользуетесь то галочки с записей

Код:

CrackTool.Agent
PUP.Optional.AuslogicsBoostSpeed
PUP.Optional.RussAd

снять, остальное все удалить. Если не пользуетесь то все удалить. Кроме

Код:

PUP.Optional.RussAd

Далее
сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие и вы ими пользуетесь в противном случае снимать не нужно)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
Как создать логи FRST

miner1337 · 01.04.2018, 00:12

АдвКлинер нашёл что-то с boostspeed в названии, чем я пользуюсь, тоже удалять?

miner1337 · 01.04.2018, 00:16

Кроме

Код:

PUP.Optional.RussAd

Что это, я это удалил, т.к. либо вы исправили своё сообщение, либо я не увидел это "кроме".

miner1337 · 01.04.2018, 00:21

Ладно, я погуглил что это и понял, что это не смертельно. я оставлю BoostSpeed и перейду к слкдующему шагу.

miner1337 · 01.04.2018, 01:20

это всё, что FRST успел отсканировать перед появлением ошибки сканирования (75919)

31.03.2018, 21:40	#1 (permalink)
miner1337 Новичок Регистрация: 31.03.2018 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Помогите разобраться с майнерами Обнаружил у себя 2 вида майнера: conhost64.exe (C:\windows\SysWOW64\conhost64.exe) и msiexec64.exe(C:\USER\Aser\Appdata\Local\BitTorren t\msiexec64.exe). Однажды у меня получилось удалить msiexec64.exe, находился тоже в Local, но в другой папке, я разблокировал доступ, удалил файлы и затёр диск с помощью AusLogics BoostSpeed, чтобы файлы не восстановились, и у меня получилось. Позже я проверил все папки в Local и нашёл там около 3 таких майнеров, файлы одного из которых были заблокированы. Я удалил все файлы и после затёр диск. Сегодня один майнер восстановился в папке BitTorrent, а другие нет. С conhost64.exe та же проблема, то есть после удаления и затирания файл восстановился. Помогите, пожалуйста! P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)

31.03.2018, 22:45	#4 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Скопируйте код ниже в буфер обмена. Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты----Выполнить из буфера обмена Код: ;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c zoo %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE setdns SecureLine\4\{5E2EC62F-74A3-4B90-A13B-9EB47FE0023F}\8.8.8.8,8.8.4.4 delref HTTP://CR-WHITE.NET/DUCXCACEQVIU.QOO delref HTTP://SUBOUTMY.NET/FVYRKUJUGTJV.QKP delref %SystemDrive%\USERS\ASER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EEOCKNBJPMFGACLENCNFJFKKLMMFMIIE\3.0.3_0\SCRIPTGATE delall %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE delall %SystemDrive%\USERS\ASER\APPDATA\LOCAL\BITTORRENT\MSIEXEC64.EXE deltmp delnfr restart После перезагрузки выполните сканирование в Malwarebytes

31.03.2018, 23:54	#6 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Если Auslogics BoostSpeed пользуетесь то галочки с записей Код: CrackTool.Agent PUP.Optional.AuslogicsBoostSpeed PUP.Optional.RussAd снять, остальное все удалить. Если не пользуетесь то все удалить. Кроме Код: PUP.Optional.RussAd Далее сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? *** в АдвКлинере, после завершения проверки, снимите галки с записей mail.ru, yandex (если есть такие и вы ими пользуетесь в противном случае снимать не нужно) остальное удалите по кнопке Очистить** далее, сделайте проверку в FRST Как создать логи FRST

01.04.2018, 00:16	#8 (permalink)
miner1337 Новичок Регистрация: 31.03.2018 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Кроме Код: PUP.Optional.RussAd Что это, я это удалил, т.к. либо вы исправили своё сообщение, либо я не увидел это "кроме".

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

31.03.2018, 21:40
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Не ленитесь и прочитайте похожие топики, это очень помогает в решении проблем Помогите разобраться Помогите разобраться Помогите разобраться! Помогите разобраться.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

01.04.2018, 00:12	#7 (permalink)
miner1337 Новичок Регистрация: 31.03.2018 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	АдвКлинер нашёл что-то с boostspeed в названии, чем я пользуюсь, тоже удалять?

01.04.2018, 00:21	#9 (permalink)
miner1337 Новичок Регистрация: 31.03.2018 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Ладно, я погуглил что это и понял, что это не смертельно. я оставлю BoostSpeed и перейду к слкдующему шагу.