За непродолжительное время при скачивании какого то ПО, скорее всего KMSAuto с сайта kms-auto.cc, обнаруживал в системе вирус майнер, один раз из за него уже переустанавливал систему, так как использование антивирусных утилит не помогло, после сканирования системы и удаления файлов вируса, при перезагрузке майнер появлялся вновь. Второй раз пролечил Dr.WEB Cureit, антивирусом AVG и тупым удалением фалов в папках системы, жду последствия) Лог с автологера во вложении.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Chasch, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.Код:O4 - HKCU\..\StartupApproved\Run: [uFiler] = "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (file missing) (2023/08/26) O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing) (2023/09/09) O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Сообщение от Vvvyg
Строки пофиксил, запрашиваемые логи во вложении)
Уведомление
Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ File: C:\Windows\system32\rfxvmt.dll Unlock: C:\Users\uresh\AppData\Roaming\Sysfiles Folder: C:\Users\uresh\AppData\Roaming\Sysfiles 2023-09-09 11:57 - 2023-09-09 11:57 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll 2023-09-09 11:57 - 2023-09-09 11:57 - 000000000 __SHD C:\Users\uresh\AppData\Roaming\Sysfiles 2023-09-08 10:54 - 2023-09-08 10:54 - 779850129 _____ C:\Windows\MEMORY.DMP 2023-09-08 10:54 - 2023-09-08 10:54 - 001466140 _____ C:\Windows\Minidump\090823-10687-01.dmp Reboot: End::
Компьютер будет перезагружен.
WBR,
Vadim
C:\Windows\system32\rfxvmt.dll
Файл не подписан
MD5: E3E4492E2C871F65B5CEA8F1A14164E2
Дата создания и изменения: 2023-09-09 11:57 - 2023-09-09 11:57
Размер: 000037376
Атрибуты: ----A
Название Компании : Microsoft Corporation
Внутренний Имя: rfxvmt.dll
Оригинальный Имя: rfxvmt.dll
Продукт: Microsoft® Windows® Operating System
Описание: Microsoft RemoteFX VM Transport
Файл Версия: 10.0.15063.0 (WinBuild.160101.0800)
Продукт Версия: 10.0.15063.0
Авторское право: © Microsoft Corporation. All rights reserved.
VirusTotal: https://www.virustotal.com/gui/file/...b30-1688214050
====== Конец от File: ======
"C:\Users\uresh\AppData\Roaming\Sysfiles" => был разблокирован
========================= Folder: C:\Users\uresh\AppData\Roaming\Sysfiles ========================
====== Конец от Folder: ======
C:\Windows\system32\rfxvmt.dll => успешно перемещены
"C:\Users\uresh\AppData\Roaming\Sysfiles" Папка переместить:
C:\Users\uresh\AppData\Roaming\Sysfiles => успешно перемещены
C:\Windows\MEMORY.DMP => успешно перемещены
C:\Windows\Minidump\090823-10687-01.dmp => успешно перемещены
Системе требуется перезагрузка.
==== Конец от Fixlog 17:02:01 ====
- - - - -Добавлено - - - - -
лог Fixlog.txt скинул
Fixlog.txt лучше было вложением.
Порядок, остатки майнера зачистили.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
