Avz как удалить майнер

Обновлено: 07.07.2024

AV block remover or shorter AVbr - is a tool intended to remove the specific miner blocking the installation of various AV software, preventing the access to AV sites and forums of curing. This tool could be used in other cases with a similar anti-viruses restriction.
This specific miner has the next symptoms: virus blocks the possibility to download anti-viruses, blocks the sites, closes Task manager and gpedit.msc, closes the sites when you try to find or download the CureIt and other AV tools; installed anti-virus is "missing".
By the way, excepting the mining and AV blocking, this virus also sets up the RMS. So your data also could be stolen.

Using:
Download and extract the archive in any convenient place.
After extracting, you shall temporarily turn off the anti-virus (if you have one) and also turn off the Windows Defender. If you are afraid that turning off the anti-virus can cause getting more viruses, temporarily turn off the Internet connection instead.
Run AVbr.exe.

While processing, AVbr will create a folder named ..\AV_block_remover next to it, which includes:
- AV_block_remove_date-time.log - tool's performance report.
- quarantine.zip - standard AVZ archive with a quarantine of deleted files.
- Backup - folder with a backup of some settings having possibly changed while curing.

• Tool deletes the miner itself and its derivatives.
• Takes off prohibition to anti-virus setup. It also deletes anti-virus folders if they're empty and if not, it rebuilds the standard access permissions of such folders.
• Restores the Shadow copy service.
• Deletes hidden account "John" which created by a virus (depends on user choice).
• Tool will create Hosts file if it doesn't exist. Tool will reset Hosts file to default or open it to manually edit (by user choice) if Hosts file exist and do not pass check (was changed).

This tool is a wrapper over the AVZ by Oleg Zaitsev along with a script. Tool's principle of operation is similar to AutoLogger. It is assembled on the server daily in the same way.

Since the mentioned miner is blocking sites and forums access, it is welcomed to upload this tool to other sites and file exchange servers, thus the user could download it there. Notice, that miner is often upgraded, so the tool's script is also upgraded along with the AVZ itself. Therefore, the tool has its own deadline. After several days tool will ask you to download the fresh version.

AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.
Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove_дата-время.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

• Утилита удаляет сам майнер и его производные.
• Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
• Восстанавливает службу теневого копирования.
• Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
• Если файл Hosts отсутствует, то создаёт. Если существует и не прошёл проверку (изменён), то в зависимости от выбора пользователя сбрасывает к состоянию по умолчанию или открывает его для редактирования вручную.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.

Так как этот майнер блокирует доступ к сайтам и форумам, где могут помочь с его удалением, то приветствуется перезаливка этой утилиты на другие сайты и разные ФО с целью предоставления возможности скачивания пользователем, который не может это сделать сам. Только следует учитывать, что так как майнер регулярно обновляется, то обновляется и скрипт лечения в этой утилите, а также обновляется и сама утилита AVZ. По этой причине у утилиты есть "срок действия". После истечения определённого кол-ва дней со дня скачивания утилита попросит скачать свежую версию.

О программе

AV block remover (AVbr) - скрипт на базе антивирусной утилиты AVZ, который удаляет майнер, блокирующий работу антивирусов и открытие антивирусных сайтов

Что нового

Утилита ежедневно автоматически пересобирается на базе свежей версии утилиты AVZ.

Системные требования

Операционные системы:

Полезные ссылки

Подробное описание

AV block remove (AVbr) - скрипт на базе антивирусной утилиты AVZ, позволяющий удалить из системы майнер, который блокирует установку и работу антивирусов и доступ к антивирусным сайтам. Скрипт был создан для удаления одного конкретного майнера, но должен быть эффективен и против других заражений с подобными симптомами.

Как использовать утилиту AVbr:

1. Скачайте утилиту и распакуйте её в любом месте.
2. Временно отключите антивирус (если он у вас есть), включая приложение Безопасность Windows.
3. Если отключение антивируса невозможно или нежелательно, то временно отключитесь от интернета.
4. Запустите файл AVbr.exe.
5. Во время работы скрипта, при необходимости, согласитесь на удаление скрытой учётной записи "John" и очистку файла Hosts.
6. После завершения работы скрипта будет выполнена автоматическая перезагрузка.

Что делает утилита AVbr:

• Удаляет майнер и его производные.
• Снимает запреты на установку антивирусов, восстанавливая права доступа на их папки.
• Восстанавливает службу теневого копирования.
• Удаляет скрытую учётную запись "John", которую создаёт майнер.
• Сбрасывает к состоянию по умолчанию файл Hosts.

Так как утилита удаляет только конкретный майнер и лечит систему от последствий только его заражения, после работы с утилитой необходимо выполнить полную проверку системы одним из антивирусных сканеров, а затем установить антивирус для постоянной защиты системы.

Оценка пользователей

Другие программы

AVZ
Антивирусная утилита для продвинутых пользователей для обнаружение и удаление шпионского

Kaspersky Virus Removal Tool
Бесплатный антивирусный сканер для лечения активного заражения системы

Рекомендуем

БЕСПЛАТНО

БЕСПЛАТНО

БЕСПЛАТНО

БЕСПЛАТНО

БЕСПЛАТНО

Доброго времени суток. Прошу помощи, так как у самого не получается разобратся.
Пришел я значит на работу, принял смену, сел за ПК, а он глючит что ппц. Захожу в диспетчер задач, а там висит процесс, который грузит проц, а кулер гудит что тот самолет.

Пробую скачать malwarebytes - браузер закрывается при любом упоминании в тексте слова "malware". Качаю через телефон, инсталяшку копирую на ПК, запускаю. Процесс установки убивается. Запускаю безопасный режим, установляю программу таким образом, сканирую ПК - 290+ угроз. Кидаю всех нафик в карантин, перезагружаю ПК - та же история. Комп грузится, кулер воет, и открылась страница рекламная в браузере до комплекта. Снова безопасный режим, скан. Теперь уже только 3 угрозы.

Как удалить эту заразу без переустановки ПК? Есть идеи? Пишу с телефона, так как на ПК почти нереально работать.

Лига Сисадминов

662 поста 12.5K подписчика

Правила сообщества

1)Из безопасного режима или liveCD еще раз проскань malwarebite, добавь к этому hitmanpro и adwcleaner. По желанию можно добавить rkill\zamana atnimalware.

2)руками удалить файлы по пути

3)удалить ключ реестра

4)сбрось настройки браузеров на дефолт

5) снеси 360 total и поставь фаервол от comodo+ любой антивирус по вкусу.

6) если все еще не помогает - подключать помощь с форумов антивирусных вендоров. Сделать логи программами Hijackthis\CureIt\AVZ\. \Kaspersky Virus Removal Tool в зависимости какие приняты на ресурсе, создать тему в соответствующем разделе и ждать чуда.

Скачай бесплатную утилиту от Веба или касперского. они есть на их сайтах.

Любой дистриб автаномного антивиря дрвеб, каспер, нод. делаешь бутовую флешку илм на болванку катаешь и вперед Ищи в планировщике задач задачу, которая запускает майнер и открывает рекламу, через автозагрузку, или реестр давно уже никто не делает

Предупреждают же что не надо сидеть в компе с админ правами, но никто не слушает!

Так вот же на втором скрине путь указан где зараза сидит. Грузишься с любого live cd и удаляешь все ручками

Dr.web утилитой в Безопасном режиме прогони, потом в управлении ПК удали всех юзеров, которых создал этот Майнер. Ну и в самой Винде папки с пользователями удали

Давно слежу за этим сайтом, там они сделали сборку live cd из антивирусов
https://www.comss.ru/page.php?id=4425
Нажми на "Подробное описание"
почитай. и никогда не используй 360 total, это помойка.

включаем моск после нескольких "оленей-самоубийц" и начинаем действовать, грузим с флехи 2klive usb (например), лезем в реестр, пути загрузки процессов уже давным давно указаны в нете, смотрим где валяется эта "шняга", удаляем загрузку процесса, удаляем "шнягу", проверяем на всякий случай cureit и malware bites portable всю эту фигню (потому как мало ли где этот треш сидит), перегружаемся, профит, готово.

Если пк твой переставь винду. Если рабочий зови ,,доктора.

Если есть другой компьютер, то сделай загрузочную флешку с антивирусом. Если нет, то попроси друга. Rufus + образ диска с комплектом софта помогут. Только с флешкой осторожнее, лучше использовать не ту, что ты втыкал в свой компьютер, так как друг тоже под раздачу попасть рискует.

у тебя есть сис админ? сис админу обратись. нех самодеятельностью заниматься.

Странный майнер. Чего он так грузит проц то, когда он прежде всего должен видюху грузить, а проц незначительно? Да и не грузил бы проц так сильно глядишь еще долго бы не спалился.

AVZ тебе в помощь, чистит все, удаляет в эвристическом режиме. Прост в использовании.

mbam всю эту хуйню сносит изи. советам скачать cureit я бы не доверял. эта утилита была полезной лет 8 назад, сейчас не оч.

кошмар - не знать о лечебных утилитах, запускаемых ДО загрузки системы

Когда вылечишь, поставь наконец во все браузеры uBlock или NanoAdBlocker и добавь в них подписку-антимайнер:

Неплохо бы ещё фаерволлом обзавестись. Слыхал, что есть такие штуки, сисадмин? ))

зайди в историю браузера

Просто убить этот майнер из автозагрузке.

Банкоматик, не болей

Когда банкомат устал и вместо того, чтобы дать деньги, просит их у тебя . биткоинами

WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты?

Вот и спал пик обсуждения вируса-шифровальщика WannaCry ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt. ), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.

Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:

Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM

Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:

Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:

Расшифровка.

А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((

Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :

Похоже что заплатив выкуп ничего не добьемся, так что. мы помним что делать чтобы обезопаситься:

Майнеры в раздачах

На одном небезызвестном ресурсе появилась информация по майнеров в раздачах, посему решил создать этот пост дабы люди проверили свои компьютеры.

К вам обращается R.G.GameWorks

В связи со сложившейся ситуацией мы хотели бы принести Вам свои извинения за подлые действия нашего члена группы - N1K0LS0N.

Он без нашего ведома, позволил себе залить майнер в пару последних раздач от нашей группы.

Мы крайне огорчены тем, что Вам пришлось испытать трудности с этим. Вирус на компьютере - вещь не из приятных. А майнер, тем более.

С момента создания группы, в 2012 году и по сей день, наша группа радует пользователей Rustorka свежими, а самое главное, качественными релизами ПК игр.

С членами группы R.G.GameWorks была проведена беседа о недопустимости таких действий. Решением было изгнание N1K0LS0N из R.G.GameWorks, а так же пожизненный бан на трекере.

Мы очень сожалеем и надеемся, что этот инцидент не сможет повлиять на Ваше видение о группе в целом. Мы стараемся для Вас.

1. Включить показ скрытых файлов и папок

2. Зайти в локальный диск С, найти в поиске папку Realtek HD (обычно ставится в C:\Users\имя_юзера\AppData\*****\Realtek HD

3. Удалить папку целиком (если не получается - закрыть в диспетчере задач процесс rthdcpl.exe)

Содержимое папки с майнером выглядит так:

Релизы с майнерами:

HITMAN Anthology / HITMAN Антология (Square Enix) (RUS/ENG/MULTi) [L|Steam-Rip] R.G. GameWorks

Trials of the Blood Dragon (Ubisoft) (RUS/ENG/MULTi10) [L|Steam-Rip] R.G. GameWorks

We Happy Few (Compulsion Games) (ENG/FR) [L|Steam-Rip] R.G. GameWorks

INSIDE (Playdead) (RUS/ENG/MULTi14) [L|Steam-Rip] R.G. GameWorks

No Man's Sky (Hello Games) (RUS/ENG/MULTi12) [L|Steam-Rip] R.G. GameWorks

Немного о Майнинге или ГОРЯЧИЙ Август моей видеокарты

Доброго времени суток, дорогие Пикабушники.

Грустил я вчера ночью, тупя в экран ПК, задыхаясь от жары и отмахиваясь от роя комаров. И пришла мне в голову мысль, что громковато работает куллер, надо бы пыль почистить в системнике. А может просто из-за 35 градусов на улице комп себя охлаждает. Ему виднее.

В общем лезть под стол и откручивать винты мне было лень, а в голове всплыли обрывки информации со словом "майнинг", мол злоумышленники могут использовать вашу кровью и потом купленную видяху для вычислений с целью обогатиться биткойнами.

Монитор вот он, лезть не надо никуда, скачал программку "ProcessExplorer" (ссылка или в конце, или в комментах) запустил. По умолчанию, загрузка GPU не отображена. Добавляем в View/Select Columns (ПКМ на названии столбцов) все что связано с GPU, и кликнув по заголовку одной из колонок, сортируем по GPU для удобства:

И ищем подозрительных гостей в топе поедания ресурсов GPU. У меня это был процесс ISSCH.EXE, в папке по пути Пользователь/AppData/Local/StardewValley(. )/ISSCH

Как видим, если сам файл ISSCH.EXE еще не достаточно для вас подозрителен (кстати опознавался он как легальный процесс), то файл decredGeForce GTX 770gw256l4tc4032.bin явно наводит на некоторые мысли)

Теперь к самому интересному. Файлы были созданы в тот день, когда все радостно пиратили (ЙОХХОХО!) продукты с Denuvo, лично я скачал с Пиратской бухты Inside, TombRaider и Doom. Чтобы "мега кряк" заработал, надо было снять панталоны, в лице аваста, и повернуться к лесу жопкой - установится могло все что угодно. И почему то поставилось в папку StardewValley которую я запускал пол года назад. Вот она если кто не помнит.

Уж не знаю, хитрый ли болгарин Voksi решил набить мошну, или еще кто, но многие в те дни светили жопой в чаще леса. Проверьтесь, друзья)

Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:

Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
KVRT и CureIt ничего не нашли.

Помогите решить проблему, пожалуйста.
CollectionLog-2021.11.23-23.54.zip

Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
CollectionLog-2021.11.23-16.17.zip

Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.

При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.

KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.

При приостановке антивируса, стандарнтый Microsoft Defender проблем не видит. В Chrome делала сброс настроек и поиск вредносного ПО, так же не помогло. Так же как и в предыдущих темах форума, проблема очень похожа- каждые 20 минут оповещение, не зависимо от того, выполнен вход в браузер или нет.

Пожалуйста, помогите решить эту проблему.

Прилагаю файл протоколов
CollectionLog-2021.11.21-02.24.zip

Здравствуйте!
Каждые 20 минут Kaspersky Total Security фиксирует попытку PowerShell перейти на вредоносный сайт
это происходит независимо от того открыт какой-нибудь браузер или нет.
Полное сканирование ПК программой KTS вирусов не обнаружило.

KVRT при сканировании указало 3 объекта - легальные программы которые могут быть использованы злоумышленниками.
Помогите пожалуйста решить проблему!
Лог после работы AutoLogger прилагаюCollectionLog-2021.11.20-17.08.zip

Читайте также:

  
• Создание flash adobe flash
  
• Как удалить переписку в инстаграме на компьютере
  
• Core83 dll ошибка вылетает 1с
  
• Как удалить файл в termux
  
• Tv star t2 517 hd usb pvr прошивка