-
майнер
-
john
Рекомендуемые сообщения
twixon
-
- Поделиться
Случайно обнаружил пользователя John, погуглил, и вроде как выяснил, что это майнер. Папка создана 11 апреля, но вроде бы я заходил в users и после 11 числа, а папки не было. Может быть такое, что «активировалась» она позже? Благо смог выяснить откуда подцепил это дело. Логи прикрепляю, спасибо! Какие действия нужно дальше предпринимать?
AV_block_remove_2023.06.17-03.51.log
CollectionLog-2023.06.17-04.24.zip
Изменено пользователем twixon
Ссылка на комментарий
Поделиться на другие сайты
-
twixon изменил название на Майнер John
SQ
-
- Поделиться
Здравствуйте,
Майнеры в большинстве случаев устанавливается с пиратским ПО. Также с крэками, активаторами и т.п. Как например у Вас в логах можно увидеть активатор Microsoft Windows/Office
O22 - Tasks: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act
Также возможно вы пытали установить какую-то игру с сайта сомнительной репутацией.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены «List BCD» , «SigCheckExt» и «90 Days Files».
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
twixon
- Автор
-
- Поделиться
Игры с торрентов не качаю)
Причина была в активаторе.. хоть лицензию теперь покупай))
Файлы прилагаю. Спасибо!!FRST.txtAddition.txt
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
Игры не обязательно с торрентов качать, очень много сайта с сомнительной репутация предалагают скачать игры.
- Закройте и сохраните все открытые приложения.
-
Выделите следующий код::
Start:: SystemRestore: On CreateRestorePoint: HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ Task: {724A3A47-5E64-4CFF-9C6C-7597AB715FB3} - System32\Tasks\MATLAB R2022a Startup Accelerator => E:\MATLAB\bin\win64\MATLABStartupAccelerator.exe (Нет файла) Task: {832549FB-43C7-4D4C-A15B-D47249659935} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC Reboot (Нет файла) Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Нет файла) Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) Task: {FDDF842A-4101-474E-B9D4-C38132380618} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery Reboot (Нет файла) Folder: C:\Users\Ilya\AppData\Roaming\xm1 Virustotal: C:\WINDOWS\system32\rfxvmt.dll Virustotal: C:\WINDOWS\system32\WinTab32.dll Virustotal: C:\WINDOWS\SysWOW64\WinTab32.dll AlternateDataStreams: C:\Users\Ilya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Ilya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6044] FirewallRules: [{C2EEF53E-5B09-4F11-AE56-E35A713A3E6E}] => (Allow) C:\Users\Ilya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла FirewallRules: [{62BA8A26-2617-473B-B7E3-EC562F1A6BCC}] => (Allow) C:\Users\Ilya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла FirewallRules: [UDP Query User{A13ACC2C-4674-4E85-B726-24C735C5454A}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла FirewallRules: [TCP Query User{79C14109-21E5-4534-9F9E-B73D833DA15A}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла FirewallRules: [{32F9831F-A0A7-4007-8136-2F83DBD9EA02}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла FirewallRules: [{C84DB9B3-0925-4062-AF20-10824396F7E2}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла FirewallRules: [UDP Query User{CB82E1F8-1C7C-4BCF-B9E3-958C9C48FC62}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла FirewallRules: [TCP Query User{09DE6A55-EBBF-4AA2-84D8-6E23C9D422AA}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла FirewallRules: [UDP Query User{AE75C03E-0DEE-4082-AB9A-5914F37E6ED8}C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe] => (Allow) C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe => Нет файла FirewallRules: [TCP Query User{6007542F-124E-4916-A28A-8011E3466417}C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe] => (Allow) C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe => Нет файла FirewallRules: [{EF7B15DC-62A4-4BAC-814B-543563D5485C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{485BE919-8C6B-4DEC-97D7-517789CDC850}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла End:: - Скопируйте выделенный текст (правой кнопкой — Копировать).
- Запустите FRST/FRST64 (от имени администратора).
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
- Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
twixon
- Автор
-
- Поделиться
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
В последних логах не было обнаружено майнера, только его хвосты, которые были очищены.
Сообщите, что с проблемой?
Ссылка на комментарий
Поделиться на другие сайты
twixon
- Автор
-
- Поделиться
Вроде все хорошо, на сайты дает заходить, нагрузка на видеокарту спала. Спасибо!
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
Завершающие шаги:
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
twixon
- Автор
-
- Поделиться
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
Ознакомьтесь с результатом:
Статус лицензии: Office 19, Office19ProjectPro2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 160989 мин.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 160989 мин.
————————— [ SecurityUtilities ] —————————
Sandboxie-Plus v1.9.6 v.1.9.6 Внимание! Скачать обновления
————————— [ OtherUtilities ] —————————-
Git v.2.40.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 — ru-ru v.16.0.12325.20298 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления
Wireshark 4.0.2 64-bit v.4.0.2 Внимание! Скачать обновления
—————————— [ ArchAndFM ] ——————————
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
————————— [ IMAndCollaborate ] —————————
Discord v.1.0.9006 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
——————————— [ P2P ] ———————————
Zona Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
——————————— [ Media ] ———————————
K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления
VLC media player v.3.0.11 Внимание! Скачать обновления
—————————- [ UnwantedApps ] ——————————
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
—————————— [ End of Log ] ——————————
Ссылка на комментарий
Поделиться на другие сайты
twixon
- Автор
-
- Поделиться
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
Ссылка на комментарий
Поделиться на другие сайты
SQ
-
- Поделиться
Ссылка на комментарий
Поделиться на другие сайты
Эта тема закрыта для публикации ответов.
-
Похожий контент
-
Автор
wastezxc
Видимо словил майнер, некоторые приложения при запуске сразу закрываются
CollectionLog-2025.04.04-17.45.zip
-
Автор
dlitsov
Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему
диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи . Сейчас уеду на работу , завтра готов к уничтожению его
14d904d13b62d5466385f8e797bef654.txt
-
Автор
RobertoN1
Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
CollectionLog-2025.04.02-06.21.zip
AV_block_remove_2025.04.02-06.08.log -
Автор
SansMan
В общем, словил майнер, всё как обычно, закрываются сайты с антивирусниками и т.д., ещё из проблем то, что при запуске винды нет ничего, кроме чёрного экрана и грузящего курсора, на нажатия не реагирует никакие. В безопасном режиме всё работает.CollectionLog-2025.03.19-19.44.zip
-
Автор
baobao
Столкнулся с пользователем John, удалил его в меню netplwiz(win+r) но при проверке компьютера через Miner Searcher написано #Проверка пользователя John.(вирусы не обнаружены) он у меня уже был и пропал и снова появился только не могу понять как его удалить чтобы даже не упоминалось о нём
вот лог AVBR И MINER SEARCHER
AV_block_remove_2024.12.23-22.43.logMinerSearch_23.12.2024_22-49-46.log
-
Воин Моргота, конечно уже много времени прошло, но всё-же и я поздно наткнулся на данную тему, и то, потому что сам столкнулся с такой же проблемой. В итоге скажу, что это вирус-майнер, и не простой, а создаёт с помощью этого скрытого аккаунта удалённое rdp-подключение, блокирует доступ на сайты антивирусного ПО и блокирует запуск любых антивирусных утилит, типа доктор веб, kvrt и т.д. Селится он в скрытых системных папках, зайти на них тоже не даст.
Как бороться: либо скачать на флешку с другого компа утилиту AVbr и KVRT, переименовать их, например 123 и 321 и после запустить сначала AVbr (она удалит скрытых пользователей и восстановит права на папки системные и т.д….) ну а KVRT подчистит остатки и хвосты от вируса. Ну либо переустановка ОС с полным форматированием диска (не быстрое а полное). Я не стал форматировать диск и менять ОС, всё успешно вылечилось. Расписывать долго, но скажу коротко, мучался весь день, про AVbr утилиту узнал только после, в итоге вручную в безопасном режиме рылся в папках, удалял все странные файлы. У меня от шкерился под процесс RealtekHD (звуковой карты). Также вручную удалил все exe-шники с автозапуска (скрытые) и тд…
Теперь самое главное — подцепил с репака от Chovka и FitGirl (качал игру Cities Skyline градостроительный симулятор). Пренебрёг оповещением антивируса (добавил файлы в исключения) и тут понеслось… Также будьте аккуратны с репаками от Evgeny98. Вообще лучше всего репаки от Механиков, там точно нет майнеров, да и сама контора себя зарекомендовала положительно. С любыми репаками — ухо востро.
Распределенное обучение с TensorFlow и Python
AI_Generated 05.05.2025
В машинном обучении размер имеет значение. С ростом сложности моделей и объема данных одиночный процессор или даже мощная видеокарта уже не справляются с задачей обучения за разумное время. Когда. . .
CRUD API на C# и GraphQL
stackOverflow 05.05.2025
В бэкенд-разработке постоянно возникают новые технологии, призванные решить актуальные проблемы и упростить жизнь программистам. Одной из таких технологий стал GraphQL — язык запросов для API,. . .
Распознавание голоса и речи на C#
UnmanagedCoder 05.05.2025
Интеграция голосового управления в приложения на C# стала намного доступнее благодаря развитию специализированных библиотек и API. При этом многие разработчики до сих пор считают голосовое управление. . .
Реализация своих итераторов в C++
NullReferenced 05.05.2025
Итераторы в C++ — это абстракция, которая связывает весь экосистему Стандартной Библиотеки Шаблонов (STL) в единое целое, позволяя алгоритмам работать с разнородными структурами данных без знания их. . .
Разработка собственного фреймворка для тестирования в C#
UnmanagedCoder 04.05.2025
C# довольно богат готовыми решениями – NUnit, xUnit, MSTest уже давно стали своеобразными динозаврами индустрии. Однако, как и любой динозавр, они не всегда могут протиснуться в узкие коридоры. . .
Распределенная трассировка в Java с помощью OpenTelemetry
Javaican 04.05.2025
Микросервисная архитектура стала краеугольным камнем современной разработки, но вместе с ней пришла и головная боль, знакомая многим — отслеживание прохождения запросов через лабиринт взаимосвязанных. . .
Шаблоны обнаружения сервисов в Kubernetes
Mr. Docker 04.05.2025
Современные Kubernetes-инфраструктуры сталкиваются с серьёзными вызовами. Развертывание в нескольких регионах и облаках одновременно, необходимость обеспечения низкой задержки для глобально. . .
Создаем SPA на C# и Blazor
stackOverflow 04.05.2025
Мир веб-разработки за последние десять лет претерпел коллосальные изменения. Переход от традиционных многостраничных сайтов к одностраничным приложениям (Single Page Applications, SPA) — это. . .
Реализация шаблонов проектирования GoF на C++
NullReferenced 04.05.2025
«Банда четырёх» (Gang of Four или GoF) — Эрих Гамма, Ричард Хелм, Ральф Джонсон и Джон Влиссидес — в 1994 году сформировали канон шаблонов, который выдержал проверку временем. И хотя C++ претерпел. . .
C# и сети: Сокеты, gRPC и SignalR
UnmanagedCoder 04.05.2025
Сетевые технологии не стоят на месте, а вместе с ними эволюционируют и инструменты разработки. В . NET появилось множество решений — от низкоуровневых сокетов, позволяющих управлять каждым байтом. . .
Доброго времени суток!
ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ
Расскажу, как я победил один из самых опасных майнеров — Tool.BtcMine.2733 и Tool.BtcMine.2714 (в комментариях!
Он работает невероятно скрытно и как безопасник, я был уничтожен полностью.
Сам майнер использует лишь 10-15% мощности вашего железа, вы будете думать, что компьютер просто тупит!
По майнерам 27… очень мало информации в интернете, есть примерные наброски и мысли на форумах.
КАК БЫЛО У МЕНЯ
Скачал тулл-кил с торрента.
Весь пакет прошел скан, ни один из сканеров не ругался.
Кроме Дефендера. Я проигнорировал его требования и добавил файл в исключения для системы защиты винды.
Файл представлял собой обычный конфиг. Просто текстовый файл с простейшими настройками режима работа.
Там не было ни-че-го.
В итоге, это оказался последний кусочек пазла, который вскрыл ящик пандоры. Необходимо было только его наличие в корневой папке.
Я запустил, установил прогу — ничего не ругалось.
Через 3 дня, я заметил, что мой VR подлагивает при трансляции на хостинг.
На моем железе такое просто не возможно ибо — R7 3700X/64gb ddr4/3060 12gb.
Ранее проблем не замечалось.
При чем лаги начинались через минут 5 после игры.
Дело в том, что этот майнер работает только тогда, когда уходите от компа и команд от пользователя не поступает!
Я решил перезагрузить гарнитуру и ПК.
И увидел, что у меня на загрузочном экране появился профиль с названием Jonh.
Естественно, первое, что я сделал — выдернул штекер коммутатора инета.
Я попытался удалить пользователя, но… у меня не было прав!
И все, что я мог наблюдать — как он настраивает сетевые протоколы в журнале событий и закрывает мне доступ к системным папкам.
А так же хавает мою видюху на 61* температуры.
ЧТО ДЕЛАТЬ?
НЕ ПЕРЕУСТАНАВЛИВАЙТЕ систему! Это не поможет!
Это на столько умная дрянь, что она распознает загрузочную флэшку, отгрызает себе кусок от диска и шифрует его! Вы даже не успеете увидеть экран приветствия, как она уже будет наводить там свои порядки!
Безопасный режим
Без включения интернета входим в безопасный режим, удаляем второго пользователя через настройки об учетных записях.
Нужно включить видимость скрытых папок иначе вы просто не зайдете в каталоги.
Если вы уже просканировали ваш комп Cure It — сохраните отчет и сфотайте на телефон.
Tool.BtcMine.2733
Trojan.Autoit.1224
Trojan.Autoit.1124
Trojan.Autoit.1131
rdpwrap.dll
taskhostw
taskhost — клон.
Вам нужно обратить внимание на пути — если Cure It их не удалил — перейти в каталог и удалить.
Два последних — не вылечатся предупреждаю сразу, чтобы вы не делали. Они будут возвращаться снова и снова.
Решение просто и надежно, как швейцарские часы.
Заходите в диспетчер задач и ищете taskhostw с номером процесса, который у вас на скрине, он указан в пути на моем фото. Не завершаете его, переходите через его свойства в расположение. Открываете правой кнопкой свойства — безопасность- кнопка дополнительно.
Вот например так.
Здесь жмете кнопку — изменить.
Вписываете имя вашей учетной записи, в моем случае — AVR.
Соглашаетесь с изменением хозяина папки. Т.к. вы из под рута, вы можете менять права между собой у пользователей.
Там будет стоять право для TrustedInstaller.
Его необходимо удалить, удалить так же пользователя John из прав.
Выделяете, жмете кнопку удалить и применить.
Удаляете, удаляете из корзины.
ПРОЦЕДУРУ ПРОДЕЛАТЬ СО ВСЕМИ ПРОЦЕССАМИ И ПАПКАМИ ИЗ СКРИНА!
Если вы не нашли папки
C:\PROGRAMDATA\REALTEKHD
C:\PROGRAMDATA\WINDOWSTASK
C:\PROGRAMDATA\WINDOWS TASKS SERVICE, значит Cure It их уже удалил.
Я, к сожалению не вспомню, но еще поищите папку — crl optimization v4… — убрать точно так же!
В самом Cure It — НЕЛЬЗЯ ВЫБИРАТЬ ЛЕЧЕНИЕ ИЛИ КАРАНТИН — ТОЛЬКО УДАЛИТЬ!
Можете попробовать еще RogueKiller, чтобы расправиться с папками.
Три волшебных буквы CMD
1. Сброс стека протоколов TCP/IP.
В том же CMD от админа:
Пишем notepad C:\windows\system32\drivers\etc\hosts — проверяем ваш IP, чтобы не было ничего лишнего, кроме него и 127.0.0.1.
У некоторых буде файл Icalendar расширения, подобно проверяем.
В той же консоли пишем — netsh winsock reset.
КОМП НЕ ПЕРЕЗАГРУЖАЕМ ДО ПУНКТА — » ПОСЛЕ ЧИСТКИ » !
Далее netsh int ip reset c:\resetlog.txt
Далее ipconfig /flushdns
Если пишет, что нужны права админа — перезапустите консоль от админа с правой клавиши мыши.
2.Отключаем SMB-протокол
Пишем
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Disable-Feature /FeatureName:»SMB1Protoco-Client»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Server»
Здесь мы отключили поддержку клиента файлового сервера и доступа к сетевой папке.
Вводим — Dism /online /Get-Features /format:table | find «SMB1Protocol» — Все пункты должны быть Disabled.
3.Перезапуск SSH и RDP
Win+R — вводим — services.msc
Найдите в списке служб — SSDP Discovery — и остановите принудительно.
Далее заходим в Панель управления — Система и безопасность — Система — Настройка удаленного доступа.
Делаем, как на скрине.
Чистка исходников
Будьте с собой откровенны и деинсталируйте все, что поставили и скачали начиная с даты, когда предположительно могли подцепить вирусню.
Все торренты, все данные, все картинки и видео, все-все-все.
Я смотрел по истории скачивания и установки + сравнивал с процессами из журнала событий.
Да, работа муторная, но без этого никак.
Нужно еще по хорошему почистить папки в реестре точно так же.
У меня их было 3 или 4 всего, искал по названиям процессов из того же журнала событий.
Включите весь перечень дефолтной защиты Винды и Брандмауэра.
После чистки и команд
Перезагружаем, смотрим процессы.
Сканируем комп.
Придумайте, как поймать активность.
Я подключал VR и играл без инета и с ним, с интервалами по 15 минут. До наших манипуляций вирус активировался после 5 минут начала игры в VR — Имеется ввиду, что комп фоново подготавливает картинку в VR, но прямых команд нет и фактически он бездействует, значит пора выходить вирусу. Но когда вирус начинает работу, у меня проседают кадры с 120+ до 25-20 и прогрузка после поворота головы с провисанием)
После моих действий — играли сегодня, я вел стрим на хостинг снова и проблем не было никаких, температура и потребление в порядке, кадры, качество картинки тоже.
ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ
Сразу предупреждаю, что единственное полное решение проблемы — купить другой жесткий диск.
Я не смог найти нормальный и полный способ потому что слишком глуп и туп. А вирус — он как гидра.
Главное запомните — отключите интернет.
В моем случае, я просидел день, чтобы понять куда копать. Интернет пуст, все вирусы здесь.
В данном случае, мы убрали головные и вспомогательные файлы, убрали процессы, права и переломали весь алгоритм связи между свежей фермой и сервером для хранения крипты.
Если вы НЕ запустите снова этот файл — ничего не случится.
Если кто-то знает, чем дополнить или альтернативы — пишите в комменты или лс, дополню статью.
Давайте бороться с этим контрацептивами вместе.
ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ
Берегите своих двоичных, всем peace.
#1
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 08 Март 2023 — 23:06
Появился пользователь John. Почитал в инете, кажется майнер. Иногда, к слову, и в правду нагружает ЦП. Как от него избавиться? Сразу говорю, через антивирусы комп не прогонял, пока что. Если что, то могу прогнать через разные антивирусы (какие потребуются). Очень надеюсь на вашу помощь!
- Наверх
#2
Dr.Robot
Dr.Robot
- Helpers
- 3 341 Сообщений:
Poster
Отправлено 08 Март 2023 — 23:06
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- Наверх
#3
Dmitry_rus
Dmitry_rus
- Helpers
- 3 669 Сообщений:
Guru
Отправлено 08 Март 2023 — 23:49
https://forum.drweb.com/index.php?showtopic=336385
ну и логи собирайте, а то телепаты в отпусках, и что там у вас в системе происходит, не в курсе…
- Наверх
#4
ZelenayaLapsha
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Март 2023 — 05:09
Кстати, не получается Cureit скачать, просто не дает. Попробовал удалить пользователя вчера, щас включил, посмотрел, вроде чисто.
- Наверх
#5
ZelenayaLapsha
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Март 2023 — 05:10
Сейчас через Dr. Web Sysinfo логи собираю. По поводу Cureit, кстати, пишет, что DNS неправильный или что-то в этом духе.
- Наверх
#6
ZelenayaLapsha
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Март 2023 — 05:29
Вот логи после прогона через Sysinfo
- Наверх
#7
ZelenayaLapsha
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Март 2023 — 05:44
- Наверх
#8
ZelenayaLapsha
ZelenayaLapsha
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Март 2023 — 05:46
Надеюсь лишнего тут не скинул.
- Наверх
#9
Ivan Korolev
Ivan Korolev
- Virus Analysts
- 1 430 Сообщений:
Poster
Отправлено 10 Март 2023 — 11:20
Утилита лечения: https://drw.sh/tlaicr
После завершения сканирования залейте новый отчет на обменник и скиньте ссылку для скачивания.
- Наверх