Закрыто Avbr и антивирусы не находят на ПК ничего подозрительного, хотя судя по всему на нем сидит майнер John

Статус
В этой теме нельзя размещать новые ответы.

retrofuture

Новый пользователь
Сообщения
3
Реакции
0
Здравствуйте! Примерно 2-3 месяца назад пытался бороться с майнером на ПК, и думал, что победил, когда он перестал блокировать сайты и получилось много чего удалить лицензионным касперским. Однако при открытии AIDA и диспетчера задач температура ЦП подозрительно падает с 45-47 до обычных 33-35, подлагивания браузера прекращаются, ну и в логах FRST неприятно оказался пользователь John. Скачал Avbr, (avbr.exe не захотел открываться из-за "устаревшей версии", v.4, но вроде как заработал taskhostw.exe - не знаю, то ли это приложение), ничего не нашлось, то же с антивирусами. Пожалуйста, подскажите, правильно ли я волнуюсь или и правда ничего нет)
 

Вложения

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код:
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{04c08aa5-02d8-41e9-9078-772eb84c14af} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{04c08aa5-02d8-41e9-9078-772eb84c14af} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06ed72de-0583-4f7c-81e9-4a19fef7736c} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06ed72de-0583-4f7c-81e9-4a19fef7736c} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08258fa2-5aa2-4ecb-b0bb-40e00bd631f7} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08258fa2-5aa2-4ecb-b0bb-40e00bd631f7} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15075010-f425-4c1d-ba64-ba898d9517ea} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15075010-f425-4c1d-ba64-ba898d9517ea} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{16aecf64-9bf0-4d13-a262-8c4e88da0de8} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{16aecf64-9bf0-4d13-a262-8c4e88da0de8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{179c9920-9ba2-41fc-88b9-edb790f04d46} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{179c9920-9ba2-41fc-88b9-edb790f04d46} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1d64472b-4132-4ebe-bf6b-f2c7e757e1a5} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1d64472b-4132-4ebe-bf6b-f2c7e757e1a5} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26472e7e-7467-4989-afdf-47188a75b2f2} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26472e7e-7467-4989-afdf-47188a75b2f2} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{27ac38e9-619f-4874-a1ad-50113dd7ace7} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{27ac38e9-619f-4874-a1ad-50113dd7ace7} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2bce51c8-c010-4d11-b7a6-80ba868554af} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2bce51c8-c010-4d11-b7a6-80ba868554af} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2d94cf8c-2662-46b0-86ef-c2e45246b459} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2d94cf8c-2662-46b0-86ef-c2e45246b459} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37973e39-faec-4aea-8ff0-0deae998d69a} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37973e39-faec-4aea-8ff0-0deae998d69a} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53bc1d81-11f4-402b-b909-9aa68b6c5e2c} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53bc1d81-11f4-402b-b909-9aa68b6c5e2c} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56b46622-602e-4139-bd4a-0b046ba60c43} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56b46622-602e-4139-bd4a-0b046ba60c43} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{789c22b2-4b12-47b4-b4a7-f7c0456fffab} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{789c22b2-4b12-47b4-b4a7-f7c0456fffab} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7a8b5b44-c7bd-4ff2-9ca2-a801f833c11c} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7a8b5b44-c7bd-4ff2-9ca2-a801f833c11c} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7f56d612-4f4e-463d-b026-d5ab1fd0af53} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7f56d612-4f4e-463d-b026-d5ab1fd0af53} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{823e23eb-5bbc-4bbd-8927-9b5c3d89ccf6} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{823e23eb-5bbc-4bbd-8927-9b5c3d89ccf6} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{921e603a-42a2-454d-b392-5b513900ecf7} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{921e603a-42a2-454d-b392-5b513900ecf7} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ae503ccf-b265-47c2-b32f-c0d34cfd0ce4} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ae503ccf-b265-47c2-b32f-c0d34cfd0ce4} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{aeed0922-199f-476c-b33e-16f78bf571b1} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{aeed0922-199f-476c-b33e-16f78bf571b1} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{b169f580-a307-4e30-bb9f-cd895205952e} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{b169f580-a307-4e30-bb9f-cd895205952e} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{cd40601a-9f84-48e1-8ede-2bc423389a92} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{cd40601a-9f84-48e1-8ede-2bc423389a92} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d780407e-eeb2-4a85-92ac-a311b3ce944a} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d780407e-eeb2-4a85-92ac-a311b3ce944a} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d9632dd4-4129-4154-a8f7-fffc8ff2f483} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d9632dd4-4129-4154-a8f7-fffc8ff2f483} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{db147b01-19ca-4504-a842-a84e28c08390} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{db147b01-19ca-4504-a842-a84e28c08390} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{de339594-1a19-4d74-b9bf-31c9fd5d6460} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{de339594-1a19-4d74-b9bf-31c9fd5d6460} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{e24a5aff-872a-476f-b5fb-ad7c3523031f} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{e24a5aff-872a-476f-b5fb-ad7c3523031f} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{eb43e79b-649f-418a-bef4-f7f9b91f57e3} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{eb43e79b-649f-418a-bef4-f7f9b91f57e3} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{f9e503be-fdb6-42ef-a2d5-c193f711bdb1} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{f9e503be-fdb6-42ef-a2d5-c193f711bdb1} - (no key)
O22 - Tasks: \Microsoft\Windows\MapInfoE\Wr0Jh0 - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O23 - Driver R: (no name) - C:\Windows\System32\Drivers\MbamChameleon.sys (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Отправляю архив. Насчет фиксинга не совсем понял, что нужно сделать?
 

Вложения

Спасибо, пофиксил, не смог только найти строку O23 - Driver R: (no name) - C:\Windows\System32\Drivers\MbamChameleon.sys (file missing). Скидываю новые логи.
 

Вложения

Скачал Avbr, (avbr.exe не захотел открываться из-за "устаревшей версии", v.4, но вроде как заработал taskhostw.exe - не знаю, то ли это приложение)
у нас качали? Ниже инструкция
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу