Решена Как полностью удалить вирус "John"?

[Neexan]

Вирус "John" после удаления его через Avbr и перезагрузки компьютера он моментально возвращается и его опять приходится удалять через Avbr
Скрипт AutoLogger не запускался, поэтому пришлось удалить Johnа Avbr ом, перед тем как запустить AutoLogger

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\Microsoft\MapData\DqqiPBuqB\Game.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\MapData\DqqiPBuqB\FilesystemL.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemL\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Neexan]

Вот логи с FRST, также заметил, что после перезагрузки со скрипта в AVZ не появился PowerShell, который появлялся всегда после перезагрузок

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-08-14 15:52 - 2023-08-14 15:52 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-08-14 15:52 - 2023-08-14 15:52 - 000000000 __SHD C:\Users\zxc\AppData\Roaming\Sysfiles
2023-08-14 15:52 - 2023-08-14 15:52 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-14 15:52 - 2023-08-14 15:52 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-14 15:52 - 2023-08-14 15:52 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-14 15:52 - 2023-08-14 15:52 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [960]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [960]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [960]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [960]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [960]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5802]
AlternateDataStreams: C:\Users\zxc\Application Data:NT [40]
AlternateDataStreams: C:\Users\zxc\Application Data:NT2 [960]
AlternateDataStreams: C:\Users\zxc\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\zxc\AppData\Roaming:NT2 [960]
FirewallRules: [{27BA1FBA-163E-456E-BC0B-33E1034D6D9B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{0B99A415-2224-4D95-A6BA-DB44F91F23B6}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{52F5FE39-D96B-4B4F-B2EE-4F34232FC09F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{EDD048F0-A43D-4245-87D0-44CB4FF166A7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{C4CEA170-A3DB-4F27-8D04-0232C0A1BF77}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{3EB92D7A-5E7D-4C37-9227-2E8F9FE0A8F1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [TCP Query User{F92F95F3-D16E-481F-B50B-14C02EA9037C}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{696F4C8F-0EC2-4DB8-91C2-44BBF0333F38}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{1DF24325-0EC3-4BD9-BB2C-6EA17CFD72D1}C:\users\zxc\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\zxc\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [UDP Query User{F1BD53A8-465A-4483-9C0C-CB8C317951EB}C:\users\zxc\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\zxc\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [TCP Query User{3BB97BFE-0921-4F97-BDCA-153819D7B73D}C:\program files (x86)\miflashpro\xldl\download\minithunderplatform.exe] => (Allow) C:\program files (x86)\miflashpro\xldl\download\minithunderplatform.exe => Нет файла
FirewallRules: [UDP Query User{0547B05B-87AC-4672-AC1F-D19A3339A002}C:\program files (x86)\miflashpro\xldl\download\minithunderplatform.exe] => (Allow) C:\program files (x86)\miflashpro\xldl\download\minithunderplatform.exe => Нет файла
FirewallRules: [{D5AFD901-5B8F-4B6A-BBD1-7D199FE9E6AC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DEATHGARDEN\Deathgarden.exe => Нет файла
FirewallRules: [{9BE6F49F-73B9-4CD2-8B63-12634594F471}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DEATHGARDEN\Deathgarden.exe => Нет файла
FirewallRules: [{680E94CB-B5DD-44A2-A0DF-D011EECF75FF}] => (Allow) %USERPROFILE%\Downloads\name (3).exe => Нет файла
C:\ProgramData\Microsoft\MapData\DqqiPBuqB
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Neexan]

Не понял к чему первый пункт, скопировал, но куда вставлять не понятно

 

[thyrex]

скопировал, но куда вставлять не понятно

программа работала напрямую с буфером обмена

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Neexan]

программа работала напрямую с буфером обмена

я так и думал, вот лог

 

[thyrex]

Sandboxie 5.64.2 (64-bit) v.5.64.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Python 3.11.3 (64-bit) v.3.11.3150.0 Внимание! Скачать обновления
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
Discord v.1.0.9011 Внимание! Скачать обновления
qBittorrent v.4.5.2 Внимание! Скачать обновления
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.23.7.3.824 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Win Updates Disabler v1.4 v.1.4.0.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 10.3.0.124 v.10.3.0.124 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим

 

[Neexan]

по возможности исправьте указанное, и на этом закончим

не получается удалить Driver Booster 10.3.0.124 v.10.3.0.124

 

[thyrex]

Удалите принудительно с помощью Geek Uninstaller