barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Подскажите как от него избавиться?
-
Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.
Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.
Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.
Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.Задать вопрос Новые сообщения Как правильно спроситьЕсли пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.
CoinMiner
- Автор темы barber.kem
- Дата начала
Судя по скриншоту - майнер в архиве, в папке загрузок. Если не запускали - удалите просто.
А вообще - логи по правилам раздела нужны.
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Антивирус стандартный его видит, но никаких действий с ним нельзя предпринять, хотелось бы от него полностью избавиться, пробовал проверку через Dr. Web Currelt, Malwarebytes, ничего не помогло...
Так если сама программа для майнинга!
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
barber.kem
Выделите и скопируйте в буфер обмена следующий код:
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Записи о найденных угрозах будут автоматически удаляться через сутки, активных угроз нет.
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
Task: {F66C5A4A-2BE1-4120-8A4D-FA9227A5D58F} - System32\Tasks\Trojan Remover => "C:\Program Files\Loaris Trojan Remover\ltr.exe" (Нет файла)
S2 ElevationService; D:\Wondershare\MobileTrans (Russian)\ElevationService.exe [X]
U3 aswbdisk; отсутствует ImagePath
2024-04-25 19:21 - 2024-04-25 19:21 - 000000000 ____D C:\Program Files (x86)\Greatis
2024-04-19 11:22 - 2024-04-19 11:22 - 000000000 ____D C:\Users\tolka\AppData\Local\ESET
2024-04-17 23:48 - 2024-04-17 23:48 - 000000000 ____D C:\Windows\system32\Tasks\Avast Software
2024-04-17 23:47 - 2024-04-17 23:47 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
2024-04-17 23:43 - 2024-04-17 23:49 - 000000000 ____D C:\ProgramData\AVAST Software
2024-04-17 22:45 - 2024-04-17 23:49 - 000000000 ____D C:\Program Files (x86)\Avira
2024-04-17 12:45 - 2024-04-17 12:45 - 000003208 _____ C:\Windows\system32\Tasks\Trojan Remover
2024-04-17 12:32 - 2024-04-17 23:49 - 000000000 ____D C:\Program Files\Loaris Trojan Remover
2024-04-17 12:32 - 2024-04-17 12:32 - 000000000 ____D C:\ProgramData\Loaris
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
FirewallRules: [{F613ED75-F1E4-4A76-8F37-4F62B2CBB1EC}] => (Allow) C:\Users\tolka\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{466A3A33-02D4-42BE-B5D0-7FC9666276D0}] => (Allow) C:\Users\tolka\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{A8B5A7BD-925A-4926-B08F-CE4B8DE8D731}] => (Allow) C:\Users\tolka\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{F9FFBC58-80FF-4818-BB46-A4DE3B516207}] => (Allow) C:\Users\tolka\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [TCP Query User{6F4AF60B-3728-4494-928D-3702A1DAAACB}D:\загрузки\dead space\nodvd\dead space.exe] => (Block) D:\загрузки\dead space\nodvd\dead space.exe => Нет файла
FirewallRules: [UDP Query User{4795C203-E894-4D92-A246-0682FA133681}D:\загрузки\dead space\nodvd\dead space.exe] => (Block) D:\загрузки\dead space\nodvd\dead space.exe => Нет файла
FirewallRules: [{20172FD3-A3BA-4F39-97F9-BC5C86DDC493}] => (Allow) D:\Загрузки\whatsapp-transfer.exe => Нет файла
FirewallRules: [{F33A94DA-5105-48AF-8FE4-56BE5E5761EB}] => (Allow) D:\Загрузки\whatsapp-transfer.exe => Нет файла
FirewallRules: [{B25B0121-771B-4658-81B8-4EBB7A6D2519}] => (Allow) C:\Users\tolka\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{299B36AB-C636-4E20-84D2-35DE430B21EF}] => (Allow) C:\Users\tolka\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{08E948BF-C36F-4132-9C5D-01E818ADCE08}] => (Allow) C:\Users\tolka\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{2DA844AB-09C0-4DBE-99C3-51CB1DAC8EC1}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_rigel\kryptex_rigel.exe => Нет файла
FirewallRules: [{BE613B7C-2822-48B5-9B0F-D16920DAA120}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{A316BDE3-4610-461F-8BB6-10B4FF16A43E}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{1F26F4E2-E55A-421D-9CBB-EBB0DA1B7A7A}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{FC703A2A-0893-4D22-93B4-F5FB3B7F7067}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{0155D46E-AD63-445B-9FC5-39FC1FD89E5E}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_xmrig\WinRing0x64.sys => Нет файла
FirewallRules: [{0E4D88CA-F875-4874-9730-EC3073D69291}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_xmrig\kryptex_xmrig.exe => Нет файла
FirewallRules: [{DA966AE9-04A1-4F93-AEC9-338512707AD5}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex_teamredminer\kryptex_teamredminer.exe => Нет файла
FirewallRules: [{4E651B8E-1DAC-451A-B5CF-1F34E051D518}] => (Block) C:\Users\tolka\AppData\Roaming\Kryptex\miners\kryptex0\kryptex0_100.exe => Нет файла
FirewallRules: [{3CAE1B1F-70D6-43EC-A205-048B7D491ED2}] => (Block) C:\Program Files\Kryptex\Kryptex.exe => Нет файла
Powershell: Set-MpPreference -ScanPurgeItemsAfterDelay 1
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::Компьютер будет перезагружен.
Записи о найденных угрозах будут автоматически удаляться через сутки, активных угроз нет.
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Вот что получилось
Посмотреть вложение Fixlog.txt
Посмотреть вложение Fixlog.txt
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Все без изменений, стандартный антивирус также видит это CoinMiner
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Хорошо, спасибо
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
В общем ничего не изменилось, полная проверка все равно находит угрозу (CoinMiner), спустя сутки не удаляет ее...
Разбираемся дальше. Снова понадобится Farbar Recovery Scan Tool.
Выделите и скопируйте в буфер обмена следующий код:
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения исправления, прикрепите его тоже.
Выделите и скопируйте в буфер обмена следующий код:
Код:
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения исправления, прикрепите его тоже.
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
Какой код скопировать?
barber.kem
Новые
- Регистрация
- 26 Апр 2021
- Сообщения
- 13
- Реакции
- 0
- Баллы
- 0
