Решена Майнер "John" и его друзья не хотят уходить

Somname

Новый пользователь
Сообщения
14
Реакции
1
Добрый день. Столкнулась с крайне неприятной ситуацией. Предположительно несколько месяцев назад, словила майнер, через папку с учебными материалами колледжа. Увы, я точно уже не помню, что это, поэтому даже предъявить не могу. Всё началось крайне стандартно, я открыла браузер, открылась рекламная страница, я подумала, что мне показалось, может случайно нажала на что-то. Хотела перезагрузить комп, чтобы проверить, но тут заметила, что закрылся антивирусник. Отправилась скачивать сканер Dr.web, но страницы с любым упоминанием антивируса или попытки открыть свой ничего не дали. Тогда я скачала сканер на телефон и перенесла на комп, зараза удалилась, так я думала, но буквально несколько дней назад, я поняла, что нет. Странности начались давненько, при загрузке системы экран промигивал чёрным (вероятно, это консоль), потом цвета искажались всё становилось розового оттенка или голубого, или же менялись по-переменке. Но я думала, что проводу монитора пришёл конец. При прослушивании музыки, она могла выключится сама или переключится на другую песню, которая могла находится где-то далеко в списке, а не следующей, хотя страница браузера была свёрнута, при рисовании курсор начинал двигаться сам и это были не мои движения, а месяц назад система стала загружаться более 3-х минут, хотя стоит SSD и раньше всё запускалось меньше, чем за минуту. При повторном сканировании Web ничего не нашёл, поэтому я подумала, что Microsoft что-то начудили в обнове. Буквально несколько дней назад, я обновляла драйвер видеокарты, но после этого слетело разрешение экрана, и летало сообщение "input not supported", я хотела загрузиться в безопасном режиме через F8, тут пошла загрузка, Винда выдала, что при запуске системы произошла ошибка, выбирете варианты, я пошла в восстановление системы и тут случилось оно: Винда спросила, какую учётную запись будем восстанавливать. Там была моя и "John". Я стала искать информацию по удалению, воспользовалась MinerSearch и утилитой Касперского. Они нашли вирусы, удалили, но при повторной проверке Сёрчем, я увидела, что он опять проверяет учётку "John" и не видит в ней угрозы, розово-голубой экран пропал, но остальное осталось. Дальше я пошла искать всю возможную информацию сканила AVZ, GridinSoft Anti-Malware, malware removal и прочими, они что-то находили, удаляли, но MinerSearc продолжал видеть Джона, в загрузках был Taskhostw.exe Realtek HD Audio, taskhost.exe, потом они исчезли, случайно запустила Майкрософт эйдж, при поиске чего-то, там начали открываться рекламные сайты, которые как бы я не старалась, не смогла удалить. Также я запустила учётку встроеннного админа, когда она настроилась побежала консоль, я была в ступоре, поэтому даже заскринить не успела, что там происходило, и тут я вспомнила, что подобное уже было на основной учётной записи, когда я ещё в первый раз удаляла всё Dr.Web. Сегодня я хотела снова зайти в эту учётную запись, но на ней появился пароль, который я не ставила. Также, в cmd при просмотре существующих учёток. я числюсь как стандартная учётная запись, хотя у меня были права администратора, а админом числится гость. Но, если смотреть просто через настройки, я являюсь администратором. При попытке включить защиту от подмены всплывает сообщение, что админ заблокировал эту и некоторые другие функции, но я этого не делала. Сегодня, я просканила с помощью HiJackThis. Он нашёл что-то, но у меня уже нет сил. Помогите выпроводить эту заразу, пожалуйста.
 

Вложения

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В крайнем случае запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
 
Хорошо, продолжаем.

1. Файл Check_Browser_Lnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 10 ActiveX 64-bit
Adobe Flash Player 10 Plugin
Adobe Flash Player 10 Plugin 64-bit
Wondershare Helper Compact 2.6.0
Wondershare NativePush(Build 1.0.0.7)


3. "Пофиксите" в HijackThis только следующие строки:
Код:
O4 - MountPoints2: HKCU\..\{3d5990ff-d4ec-11ed-be27-002522329da3}\shell\AutoRun\command: (default) = K:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{4a19f27b-5c8d-11ec-bb51-002522329da3}\shell\AutoRun\command: (default) = J:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{5d4f742b-d511-11ed-be28-002522329da3}\shell\AutoRun\command: (default) = L:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{5d4f784f-d511-11ed-be28-002522329da3}\shell\AutoRun\command: (default) = E:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{5d4f7855-d511-11ed-be28-002522329da3}\shell\AutoRun\command: (default) = L:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{5e944bd8-f14a-11ed-be70-002522329da3}\shell\AutoRun\command: (default) = L:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{767bc36c-9d35-11ed-bdc2-002522329da3}\shell\AutoRun\command: (default) = K:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{791a274c-90be-11ee-bfd0-002522329da3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{95bed3ab-215b-11ef-80d7-002522329da3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{95bed43d-215b-11ef-80d7-002522329da3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9c196743-ff8b-11ee-808c-002522329da3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9d46c8c6-3158-11ec-920d-002522329da3}\shell\AutoRun\command: (default) = J:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{bf98c799-d5dc-11ee-8040-002522329da3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{fd1fee11-283a-11ee-bf02-002522329da3}\shell\AutoRun\command: (default) = F:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - TroubleShooting (EV): HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\ (Missing: %ProgramFiles%\WindowsPowerShell\Modules)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
По пути \AutoLogger\CheckBrowserLnk нашла лог Check_Browsers_LNK_debug, это он или не совсем? Просканировала именно его.
 

Вложения

это он или не совсем?
На всякий случай упакуйте его в архив и прикрепите к следующему сообщению.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    GroupPolicy-Firefox-x32: Ограничение <==== ВНИМАНИЕ
    C:\Users\Oto\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    C:\Users\Oto\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
    AlternateDataStreams: C:\Users\Oto\Desktop\7bd5c92f307ece9640d3ec0d1e6b2a08.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [146]
    AlternateDataStreams: C:\Users\Oto\Desktop\7f5e46a65260101205aa55878e02c87f.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [601]
    AlternateDataStreams: C:\Users\Oto\Desktop\c57119843a53d8bee1ef2aa6edb7670d.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [589]
    AlternateDataStreams: C:\Users\Oto\Desktop\E_6I4y8icLs.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [227]
    AlternateDataStreams: C:\Users\Oto\Desktop\ihpftWdFEt8.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [583]
    AlternateDataStreams: C:\Users\Oto\Desktop\muted-colors-label-collection-design_23-2150043602.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [331]
    AlternateDataStreams: C:\Users\Oto\Desktop\Report_11_26.06.2024.pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [188]
    AlternateDataStreams: C:\Users\Oto\Desktop\scale_1200.jfif:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [481]
    AlternateDataStreams: C:\Users\Oto\Desktop\Screenshot 2024-07-16.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Desktop\V48w9AfnnZc.jpg:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [224]
    AlternateDataStreams: C:\Users\Oto\Desktop\Русификатор 2.0.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [173]
    AlternateDataStreams: C:\Users\Oto\Downloads\2024-04-26_10-55-33.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\953520.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [219]
    AlternateDataStreams: C:\Users\Oto\Downloads\Adobe_Illustrator_2024_28_0_0_88_by_m0nkrus_torrent.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [345]
    AlternateDataStreams: C:\Users\Oto\Downloads\AstrasGarden-1.5.0-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [479]
    AlternateDataStreams: C:\Users\Oto\Downloads\AutoLogger.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [86]
    AlternateDataStreams: C:\Users\Oto\Downloads\AVADAKEDAVRA K rwa!! pijany Kamerzysta odpala petardę. (360p).mp4:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [1320]
    AlternateDataStreams: C:\Users\Oto\Downloads\AVbr.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [107]
    AlternateDataStreams: C:\Users\Oto\Downloads\avz4.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [118]
    AlternateDataStreams: C:\Users\Oto\Downloads\a_highland_song-tenoke (1).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [149]
    AlternateDataStreams: C:\Users\Oto\Downloads\back_then_1_071_69556_win_gog.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [143]
    AlternateDataStreams: C:\Users\Oto\Downloads\Bad Omens - Blood.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\Bad Omens - Broken Youth.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\Bad Omens - Hedonist.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\Bad Omens - Reprise (The Sound Of The End).mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\candle-v-1_1_17-2016-pc-repack-ot-r_g-catalyst.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [138]
    AlternateDataStreams: C:\Users\Oto\Downloads\ceiba-tenoke (1).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [139]
    AlternateDataStreams: C:\Users\Oto\Downloads\ClearLNK.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [113]
    AlternateDataStreams: C:\Users\Oto\Downloads\doomsday_paradise-tenoke.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [151]
    AlternateDataStreams: C:\Users\Oto\Downloads\Duality-2.1-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [563]
    AlternateDataStreams: C:\Users\Oto\Downloads\edna-and-harvey-harveys-new-eyes-litsenziia-tabletka-ne-trebuetsia.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [163]
    AlternateDataStreams: C:\Users\Oto\Downloads\eticket.pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [309]
    AlternateDataStreams: C:\Users\Oto\Downloads\HiJackThis.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [158]
    AlternateDataStreams: C:\Users\Oto\Downloads\hollow-cocoon-fitgirl-repack.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [147]
    AlternateDataStreams: C:\Users\Oto\Downloads\HouseCheck-1.0-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [474]
    AlternateDataStreams: C:\Users\Oto\Downloads\jedna-i-harvi-dilogija_edna-and-harvey-dilogy-2008-2012-pc-repack-ot-r_g-mehaniki.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [159]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715917162187.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715917961828.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920024835.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920031913.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920137757.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920364351.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920589337.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920665713.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715920767570.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\kandinsky-download-1715929651001.png:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [59]
    AlternateDataStreams: C:\Users\Oto\Downloads\ken-folletts-the-pillars-of-the-earth-book-1-3-v-1_1_703-2017-pc-repack-ot-xatab.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [167]
    AlternateDataStreams: C:\Users\Oto\Downloads\Left to Suffer - Consistent Suffering.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\Left to Suffer - Feral.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\Magic Wix Script RUS.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [168]
    AlternateDataStreams: C:\Users\Oto\Downloads\memoria-repack-ot-rg-mekhaniki.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [149]
    AlternateDataStreams: C:\Users\Oto\Downloads\MinerSearch_v1.4.7.2 (1).rar:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [657]
    AlternateDataStreams: C:\Users\Oto\Downloads\MinerSearch_v1.4.7.2.rar:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [670]
    AlternateDataStreams: C:\Users\Oto\Downloads\mothmen_1966_1_0_69528_win_gog.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [146]
    AlternateDataStreams: C:\Users\Oto\Downloads\Noah Sebastian.jfif:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [100]
    AlternateDataStreams: C:\Users\Oto\Downloads\onehellofacoffeeshop-1.5-pc (1).zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [475]
    AlternateDataStreams: C:\Users\Oto\Downloads\paranoid-2023-pc-repack-ot-fitgirl.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [142]
    AlternateDataStreams: C:\Users\Oto\Downloads\Pogonja.Za.Proshlym.2015.XviD.HDTVRip.GeneralFi.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [108]
    AlternateDataStreams: C:\Users\Oto\Downloads\radioactive but im waking up.mp4:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [50]
    AlternateDataStreams: C:\Users\Oto\Downloads\ravenswatch (1).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [155]
    AlternateDataStreams: C:\Users\Oto\Downloads\Ravenswatch.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [167]
    AlternateDataStreams: C:\Users\Oto\Downloads\RBTray-4_3.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [161]
    AlternateDataStreams: C:\Users\Oto\Downloads\Report_11_26.06.2024.pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [336]
    AlternateDataStreams: C:\Users\Oto\Downloads\risk-of-rain-2-v-1_2_1_0-dlc-2020-pc-repack-ot-fitgirl.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [145]
    AlternateDataStreams: C:\Users\Oto\Downloads\Rosabones-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [474]
    AlternateDataStreams: C:\Users\Oto\Downloads\RTLC.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [216]
    AlternateDataStreams: C:\Users\Oto\Downloads\Saints-Row-2-2009-PC-RePack-Fenixx.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [144]
    AlternateDataStreams: C:\Users\Oto\Downloads\saints-row-2.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [153]
    AlternateDataStreams: C:\Users\Oto\Downloads\saints-row-the-third-remastered-2020-pc-repack-ot-xatab.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [163]
    AlternateDataStreams: C:\Users\Oto\Downloads\saints_row_-_the_third_remastered_fitgirl_repack.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [163]
    AlternateDataStreams: C:\Users\Oto\Downloads\SIGame.x64.msi:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [622]
    AlternateDataStreams: C:\Users\Oto\Downloads\SweetestValentine-1.5-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [483]
    AlternateDataStreams: C:\Users\Oto\Downloads\The Queenstons - What You Do (Lyrics).mp4:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [931]
    AlternateDataStreams: C:\Users\Oto\Downloads\The Queenstons - What You Do (TLT Remix) [Rus] (Cover By Sayonara).mp4:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [929]
    AlternateDataStreams: C:\Users\Oto\Downloads\the-dark-eye-chains-of-satinav-repack-ot-rg-mekhaniki.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [161]
    AlternateDataStreams: C:\Users\Oto\Downloads\The-Queenstons-What-You-Do-_Lyrics_ [music].mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [140]
    AlternateDataStreams: C:\Users\Oto\Downloads\The-Queenstons-What-You-Do-_Lyrics_ [vocals].mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [140]
    AlternateDataStreams: C:\Users\Oto\Downloads\The-Queenstons-What-You-Do-_Lyrics_.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [194]
    AlternateDataStreams: C:\Users\Oto\Downloads\The-Queenstons-What-You-Do-_TLT-Remix_-_Rus_-_Cover-By-Sayonara_ [vocals].mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [140]
    AlternateDataStreams: C:\Users\Oto\Downloads\The-Queenstons-What-You-Do-_TLT-Remix_-_Rus_-_Cover-By-Sayonara_.mp3:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [223]
    AlternateDataStreams: C:\Users\Oto\Downloads\TheCursedofTwinMoon-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [475]
    AlternateDataStreams: C:\Users\Oto\Downloads\titanfall-2.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [121]
    AlternateDataStreams: C:\Users\Oto\Downloads\trinity-fusion-fitgirl-repack (1).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [148]
    AlternateDataStreams: C:\Users\Oto\Downloads\ultrakill-early-access.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [142]
    AlternateDataStreams: C:\Users\Oto\Downloads\undying-build-13116597-6-dlc-portable.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [141]
    AlternateDataStreams: C:\Users\Oto\Downloads\v-razrabotke-ultrakill-p-eng-eng-2020-fps-patch-15-portable.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [142]
    AlternateDataStreams: C:\Users\Oto\Downloads\WhereWinterCrowsGo-FullGame-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [485]
    AlternateDataStreams: C:\Users\Oto\Downloads\whiteblood-1.03-pc.zip:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [469]
    AlternateDataStreams: C:\Users\Oto\Downloads\yohane-the-parhelion-blaze-in-the-deepblue-p-eng-9-jpn-2023-1_0-scene (1).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [176]
    AlternateDataStreams: C:\Users\Oto\Downloads\zompiercer-v16_2_rar.torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [143]
    AlternateDataStreams: C:\Users\Oto\Downloads\Инструкция по оформлению курсовой работы (ФГОС СПО) 2022.pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [514]
    AlternateDataStreams: C:\Users\Oto\Downloads\Курсовая работа по МДК 01.01 «Художественное проектирование рекламного продукта» (1).pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [295]
    AlternateDataStreams: C:\Users\Oto\Downloads\Методические рекомендации по КР МДК 01.01.pdf:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [431]
    AlternateDataStreams: C:\Users\Oto\Downloads\Погоня за прошлым (1-16 серии из 16) (Алан Дзоциев).torrent:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [223]
    AlternateDataStreams: C:\Users\Oto\Downloads\ЭК ПМ 02 для Реклама.docx:C7140AA6-7976-4D71-9C3A-F8BD5BCEF8DD [324]
    HKU\.DEFAULT\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    HKU\.DEFAULT\Software\Classes\.exe: exefile => "%1" %* <==== ВНИМАНИЕ
    HKU\S-1-5-21-864167369-3103418089-3257602115-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    HKU\S-1-5-21-864167369-3103418089-3257602115-1000\Software\Classes\.exe: exefile => "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{477A629C-5BC8-46D9-B3DA-2940A136FBC9}] => (Allow) LPort=2869
    FirewallRules: [{F75D62C7-8CAA-4B43-8E23-7D32C04A8311}] => (Allow) LPort=1900
    FirewallRules: [{ABBB86C1-D7AF-4BF9-8912-E5BF519C26FF}] => (Allow) LPort=5357
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Нашла файл Check_Browsers_LNK.log в архиве CollectionLog, проделала с ним те же действия с ClearLNK, прикрепляю вторым логом.
 

Вложения

Рекламные сайты пропали, промигивание при запуске и относительно долгая загрузка присутсвуют, учётная запись администратора под паролем, гость является администратором. Учётная запись John всё ещё на месте.
 
Судя по логу, всё нормально:
Oto (S-1-5-21-864167369-3103418089-3257602115-1000 - Administrator - Enabled) => C:\Users\Oto
Администратор (S-1-5-21-864167369-3103418089-3257602115-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-864167369-3103418089-3257602115-501 - Limited - Disabled)
Сделайте ещё раз CollectionLog.zip с помощью Автологера.
 
Учётная запись John всё ещё на месте.
Где вы её видите? Покажите скриншот.

"Пофиксите" в HijackThis только следующие строки:
Код:
O22 - Tasks: Oto - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Oto /t REG_SZ /d "cmd.exe /c start vvv.dinoklafbzor.org" (sign: 'Microsoft')
O23 - Service R2: Wondershare Install Assist Service - (Wondershare InstallAssist) - C:\ProgramData\Wondershare\Service\InstallAssistService.exe (sign: 'Wondershare Technology Co.,Ltd')
O23 - Service S2: Wondershare Driver Install Service help - (ElevationService) - D:\Somthing\Wondershare\Wondershare dr.fone (CPC)\Addins\SocialApps\ElevationService.exe dr.fone (CPC)\Addins\SocialApps\ElevationService.exe (file missing)
O23 - Service S2: Wondershare WSID help - (DFWSIDService) - D:\Somthing\Wondershare\Wondershare dr.fone (CPC)\WsidService.exe dr.fone (CPC)\WsidService.exe (file missing)
O23 - Driver S1: AVZ-RK Kernel Driver - (uzmyoduw) - C:\WINDOWS\system32\Drivers\uzmyoduw.sys (file missing)
O23 - Driver S3: DAEMON Tools Lite Virtual SCSI Bus - (dtlitescsibus) - C:\WINDOWS\System32\drivers\dtlitescsibus.sys (sign: 'Disc Soft Ltd')
O23 - Driver S3: DAEMON Tools Lite Virtual USB Bus - (dtliteusbbus) - C:\WINDOWS\System32\drivers\dtliteusbbus.sys (sign: 'Disc Soft Ltd')
O23 - Driver S3: HitmanPro 3.7 Support Driver - (hitmanpro37) - C:\WINDOWS\system32\drivers\hitmanpro37.sys (sign: 'Microsoft' - no company)
O23 - Driver S3: PRProt - C:\Users\Oto\AppData\Local\Temp\ActiveAnticheat\1223661\active64.sys (file missing)
Перезагрузите компьютер и сделайте еще раз новый CollectionLog.
 
Нахожу через MinerSearch, при фиксе строки "O23 - Driver S3: HitmanPro 3.7 Support Driver - (hitmanpro37) - C:\WINDOWS\system32\drivers\hitmanpro37.sys (sign: 'Microsoft' - no company)" произошла проблема, скрины с проблемами и лог прикрепляю. Ещё ради эксперимента открыла Эйдж, спустя 2 минуты снова открылся рекламный сайт. При попытке навестись на включиние Microsoft Defender страница начинает прокручиваться вверх.
 

Вложения

  • IMG_20240723_202235.webp
    IMG_20240723_202235.webp
    40.8 KB · Просмотры: 24
  • John.webp
    John.webp
    16.8 KB · Просмотры: 31
  • .webp
    .webp
    14.8 KB · Просмотры: 29
  • 2.webp
    2.webp
    10.3 KB · Просмотры: 27
  • CollectionLog-2024.07.23-20.57.zip
    CollectionLog-2024.07.23-20.57.zip
    117.9 KB · Просмотры: 2
Вот оно что, меня просто смутило, что сообщение было таким же. когда он ещё не был удалён. Логи прикрепила.
 

Вложения

При попытке навестись на включиние Microsoft Defender
В системе установлен антивирус - Webroot SecureAnywhere
Как правило, при установке стороннего антивируса встроенный Защитник отключается.
До обращения сюда Защитник работал?

Также могу предположить, что система Windows не оригинальная, а некая сборка. Если так, то в ней могли быть отключены защитные функции.
 
Я отключала Webroot, чтобы проверить данную функцию, работал, но я его самостоятельно отключила, после всей этой ситуации он включался, но сама страница, на которой это происходило, будто не хотела, чтобы я нажимала на включение. Сейчас прокрутки нет, защитник активируется. Система действительно не оригинальная, я обновлялась до 10 с 7, которая являлась сборкой.
 
Хорошо, тогда, если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Не совсем, рекламные сайты продолжают открываться на Эйдж, администратор под паролем. И странное промигивание при запуске системы.
 
Значит пока эти два пункта отложим.

рекламные сайты продолжают открываться на Эйдж
В какой момент это происходит? В других браузерах подобное не наблюдаете?
Отключите в Edge расширение
и проверьте.

администратор под паролем
А раньше был без пароля?
 
Назад
Сверху Снизу