Решена следы майнера john

[nasyjak]

Здравствуйте. После того, как вы помогли с ноутбуком, взялась за компьютер. Он оочень тупит по всем параметрам, невозможно использовать. Avbr что-то исправил, но судя по логу не всё и явно видно что следы есть (или вообще что-то другое). Логи прикреплю (забыла какие именно нужны)

 

[Sandor]

Здравствуйте!

Avbr что-то исправил

Если сохранился его отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Деинсталлируйте нежелательное ПО: Web Companion

"Пофиксите" в HijackThis только следующие строки:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = hxxps://securesearch.org/homepage?hp=2&pId=BT170902&iDate=2021-03-23 09:20:24&iid=8bb29c09-41ea-431b-9084-bc57404add76&bName=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:8892 (disabled)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [SuggestionsURL,TopResultURL] = hxxps://defaultsearch.co?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = hxxps://securesearch.org?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ACD2BEB0-17F5-4FF1-8A1C-60606069FB98}: [SuggestionsURL,SuggestionsURLFallback] = hxxp://clients5.google.com/complete/search?hl={language}&q={searchTerms}&client=ie8&inputencoding={inputEncoding}&outputencoding={outputEncoding} - Google
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Task (.job): CCleanerCrashReporting.job - C:\Program Files\CCleaner\CCleanerBugReport.exe (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[nasyjak]

Спасибо что ответили, да отчет с того момента есть, прикрепляю логи. Кстати, виндовс дефендер нашел 3 угрозы которые я не успеваю записать потому что пропадают и один раз вообще сам антивирус остановился сам по себе. ПО удалено, строки пофикшены

 

[nasyjak]

P.s. смотрю, те угрозы попали в карантин, но все равно странно по поводу отключения

 

[Sandor]

странно по поводу отключения

По поводу какого именно отключения?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AutoConfigURL: [{D329546E-8378-43DF-B859-5ADC020FDA87}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Семпай\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cocfojppfigjeefejbpfmedgjbpchcng
  IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
  IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-4102976167-4196915352-3209312735-1001\...\localhost -> localhost
  IE trusted site: HKU\S-1-5-21-4102976167-4196915352-3209312735-1001\...\webcompanion.com -> hxxp://webcompanion.com
  HKU\S-1-5-21-4102976167-4196915352-3209312735-1001\...\StartupApproved\Run: => "Web Companion"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[nasyjak]

По поводу какого именно отключения?

Да виндовс дефендера, но раз уже не отключается, значит неважно
Остальное сейчас сделаю

 

[Sandor]

Ясно, тогда еще дополнительно:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[nasyjak]

Вот

 

[Sandor]

По логам - порядок. Как внешне себя ведёт система сейчас?

 

[nasyjak]

В 10 раз лучше, вроде бы всё хорошо

 

[Sandor]

Отлично!
В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[nasyjak]

Прилагаю

 

[Sandor]

Исправьте по возможности:

AMD Software v.23.3.1 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.11629.20246 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Geeks3D FurMark 1.26.0.0 v.1.26.0.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
7-Zip 16.04 (x64) v.16.04 Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
Discord v.1.0.9013 Внимание! Скачать обновления
Viber v.18.4.0.6 Внимание! Скачать обновления
µTorrent v.3.6.0.47116 Внимание! Клиент сети P2P с рекламным модулем!.
KMPlayer 64X (remove only) v.2021.02.23.57 Внимание! Скачать обновления
VLC media player v.3.0.16 Внимание! Скачать обновления
Adobe Creative Cloud v.4.9.0.515 Внимание! Скачать обновления
Brave v.105.1.43.93 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.23 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

На заметку - Рекомендации после удаления вредоносного ПО

 

[nasyjak]

Поняла, сделаю. Спасибо) Не знаю что бы без вас делала. Хорошего дня

 

[Sandor]

Удачи!