Проблема с net.malware.url + майнер
При запуске Пк открывается браузер хром с разными сайтами, через некоторое время работы Пк запускается майнер и крутит видеокарту на максимум.
Dr.web cureit не помогает.
Нашёл файл майнера в реестре, удалил, после перезагрузки Пк видеокарту не крутит, но не уверен что удалил его полностью, а malware всё ещё остался и запускает браузер.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Zedkill, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe'); DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', ''); DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64'); DeleteFile('C:\ProgramData\halfway-autumn\bin.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\firebolt-darken\grandfather-capital.lnk'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\firebolt-darken\Деинсталлировать grandfather-capital.lnk'); DeleteFile('C:\Users\Zedkill\AppData\Local\Programs\d783787b7a\3bc275d05f.msi', '64'); DeleteFile('C:\Users\Zedkill\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\grandfather-capital.lnk"'); DeleteFile('C:\windows\SYSWOW64\save816.dat'); DeleteFileMask('c:\program files\wproxy', '*', true); DeleteFileMask('c:\programdata\halfway-autumn', '*', true); DeleteFileMask('C:\ProgramData\WorkflowCommander-2076abad-af06-4eee-872a-ea273046721e', '*', true); DeleteFileMask('c:\users\zedkill\appdata\local\programs\d783787b7a', '*', true); DeleteDirectory('c:\program files\wproxy'); DeleteDirectory('c:\programdata\halfway-autumn'); DeleteDirectory('C:\ProgramData\WorkflowCommander-2076abad-af06-4eee-872a-ea273046721e'); DeleteDirectory('c:\users\zedkill\appdata\local\programs\d783787b7a'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zedkill', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zedkill', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DeleteSchedulerTask('grandfather-capital'); DeleteSchedulerTask('office-online-S-1-5-21-1014627393-339286619-2655122004-1001'); DeleteSchedulerTask('WProxy\WinProxy'); DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера.job'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл? переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Добрый вечер!
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CHR HKU\S-1-5-21-1014627393-339286619-2655122004-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions 2024-04-26 02:07 - 2024-04-26 02:07 - 001110453 _____ C:\windows\SysWOW64\info161.dat 2024-04-01 22:03 - 2024-04-01 22:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2024-04-27 04:29 - 2024-03-24 22:01 - 000000000 ____D C:\windows\system32\Tasks\WProxy Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ doubt contain 1.8.2.562 (HKLM-x32\...\{d20fcf6a-763a-4305-8a90-724124a978f2}) (Version: 1.8.2.562 - Rice-Vandervort Ltd) Hidden FirewallRules: [{8BD1EEB5-9069-4A00-A15E-DD6556E1F0CB}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла FirewallRules: [{862D2CB5-335C-476A-AD94-DD942A1B082A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла FirewallRules: [{EEF5B1AC-3DF2-4463-853A-EB4884D13353}] => (Allow) 㩃啜敳獲婜摥楫汬䅜灰慄慴剜慯業杮瑜捯䥜㕗䵶攮數 => Нет файла FirewallRules: [{CFEAA8E6-BC99-43A4-A3E2-1AF577EE62BA}] => (Allow) 㩃啜敳獲婜摥楫汬䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{E98EC9C5-7EBA-4F12-9353-FF5996D9A9A7}] => (Allow) 㩃啜敳獲婜摥楫汬䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{C97AC393-FF3E-4CB5-9863-4E39F6CF8293}] => (Allow) 㩃啜敳獲婜摥楫汬䅜灰慄慴剜慯業杮瑜捯作㙫硥e => Нет файла Reboot: End::
Компьютер будет перезагружен.
В списке установленных прорамм появится doubt contain, удалите принудительно, с помощью Geek Uninstaller Free.
Сообщите, что с проблемами.
WBR,
Vadim
Доброй ночи!
doubt contain удалил, после перезагрузки пк проблем пока не обнаружил, хром не запустился
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
На этом всё.
WBR,
Vadim
Спасибо большое! Обязательно поддержу проект!
Уважаемый(ая) Zedkill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
