Решена Майнер John, Помогите полностью его удалить

  • Автор темы Автор темы Wrotyss
  • Дата начала Дата начала

Переводчик Google
Статус
В этой теме нельзя размещать новые ответы.
Wrotyss

Wrotyss

Новый пользователь
Сообщения
8
Реакции
0
Добрый день.
Сегодня я хотел как обычно включить свой пк, но столкнулся с трудностями. Сам пк запускался но заходить в систему и грузить биос отказывался. Переставил плашки оперативки и почистил пк и всё заработало, однако слишком долго запускалась сама система. Да так что меня выкинуло в восстановление винды, где я и заметил злополучную запись John.
Полистав этот форум, заметил что меня выкинуло из аккаунта Steam. Так что я быстренько запустился в безопасном режиме с сетью, где нахожусь до сих пор, боясь из него выходить.

Скачал AVbr, и прошёлся им. Далее прикреплю логи.

Заранее спасибо!
 

Вложения

Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O4 - HKCU\..\Run: [CCXProcess] = C:\Program Files (x86)\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe (file missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\sripa\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Aiseesoft Studio\135 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Vidmore\5 (empty)
O22 - Tasks: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O23 - Driver S1: fkduxkez - C:\WINDOWS\system32\drivers\fkduxkez.sys (file missing) (+safe mode)
O23 - Driver S1: gbrivakw - C:\WINDOWS\system32\drivers\gbrivakw.sys (file missing) (+safe mode)
O23 - Driver S1: kaopauzo - C:\WINDOWS\system32\drivers\kaopauzo.sys (file missing) (+safe mode)
O23 - Driver S1: pmcvrmbw - C:\WINDOWS\system32\drivers\pmcvrmbw.sys (file missing) (+safe mode)
O23 - Driver S1: rgbyvury - C:\WINDOWS\system32\drivers\rgbyvury.sys (file missing) (+safe mode)
O26 - Debugger (SilentProcessExit): HKLM\..\Wondershare Virbo.exe: [GlobalFlag] = 512 -> (no file)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Перезагрузите систему в нормальном режиме и далее:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-970794886-542938841-4146314493-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {7D7F7A62-399B-4C0F-B13F-8A83694DA255} - System32\Tasks\Обновление Браузера Яндекс => C:\Users\sripa\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --background-update --noerrdialogs (Нет файла)
C:\Users\sripa\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gandigjpilmchbomlpmfogigbjapofnc
C:\Users\sripa\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
CHR HKU\S-1-5-21-970794886-542938841-4146314493-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
C:\Users\sripa\AppData\Roaming\Opera Software\Opera Stable\Extensions\blmjjbnedicocendaipkddheihipnkkn
C:\Users\sripa\AppData\Roaming\Opera Software\Opera Stable\Extensions\hplonfkbglnlkghcbednpdeelgkceikl
C:\Users\sripa\AppData\Roaming\Opera Software\Opera Stable\Extensions\jmhhhdlglhkmiolmjbdplgedgeaichkc
S3 HWiNFO_173; \??\C:\Users\sripa\AppData\Local\Temp\HWiNFO64A_173.SYS [X] <==== ВНИМАНИЕ
U4 npcap_wifi; отсутствует ImagePath
2024-12-01 10:49 - 2024-12-06 18:03 - 000012611 _____ C:\Users\sripa\ex-list2.json
2024-12-01 10:49 - 2024-12-06 18:03 - 000000395 _____ C:\Users\sripa\bs-list.json
2024-12-01 10:49 - 2024-12-01 10:49 - 000000167 _____ C:\Users\sripa\e-user.json
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjhhqkh [0]
AlternateDataStreams: C:\Users\sripa\Downloads\A-Solo_1.mp4:shield [162]
AlternateDataStreams: C:\Users\sripa\Downloads\adobe-after-effects-2023-23_5_0_52-repack.torrent:shield [158]
AlternateDataStreams: C:\Users\sripa\Downloads\Dead-Island-2-by-Igruha (1).torrent:shield [152]
AlternateDataStreams: C:\Users\sripa\Downloads\Dead-Island-2-by-Igruha.torrent:shield [148]
AlternateDataStreams: C:\Users\sripa\Downloads\Displacer Pro v1.5.0.4.zip:shield [332]
AlternateDataStreams: C:\Users\sripa\Downloads\Feelin_lonely.mp4:shield [172]
AlternateDataStreams: C:\Users\sripa\Downloads\Hotline_Miami_meme.mp4:shield [182]
AlternateDataStreams: C:\Users\sripa\Downloads\im_gonna_fly_some.mov:shield [180]
AlternateDataStreams: C:\Users\sripa\Downloads\I_can_explain-1.mp4:shield [176]
AlternateDataStreams: C:\Users\sripa\Downloads\Leon_Falling.mp4:shield [170]
AlternateDataStreams: C:\Users\sripa\Downloads\lv_0_20230624142309.mp4:shield [184]
AlternateDataStreams: C:\Users\sripa\Downloads\Neco Arc - Я бью женщин и детей [AI Cover].mp4:shield [1104]
AlternateDataStreams: C:\Users\sripa\Downloads\Neco Arc Sings Вставай Донбасс.mp4:shield [1103]
AlternateDataStreams: C:\Users\sripa\Downloads\RDT_20230914_000230.mp4:shield [185]
AlternateDataStreams: C:\Users\sripa\Downloads\silly_milly.mov:shield [168]
AlternateDataStreams: C:\Users\sripa\Downloads\Skyline ryodan - gay remix 18 (будет вторая версия на 100 лайков).mp4:shield [1125]
AlternateDataStreams: C:\Users\sripa\Downloads\ssstik.io_1694564720355.mp4:shield [193]
AlternateDataStreams: C:\Users\sripa\Downloads\transform.mp4:shield [164]
AlternateDataStreams: C:\Users\sripa\Downloads\video-1637967914.mp4:shield [178]
AlternateDataStreams: C:\Users\sripa\Downloads\VID_20230722_175133_779.mp4:shield [192]
AlternateDataStreams: C:\Users\sripa\Downloads\VID_20230915_113422_105.mp4:shield [192]
AlternateDataStreams: C:\Users\sripa\Downloads\WGsJojl.mov:shield [160]
AlternateDataStreams: C:\Users\sripa\Downloads\What The Hell Meme Sound Effect.mp4:shield [1119]
AlternateDataStreams: C:\Users\sripa\Downloads\Велико русский обстрел спермой.mp4:shield [1095]
AlternateDataStreams: C:\Users\sripa\Downloads\Дело 10-16663_2022. Определение (постановление) о возвращении дела. документ - обезличенная копия.doc:shield [139]
AlternateDataStreams: C:\Users\sripa\Downloads\Заявление или Сейчас мы будем заниматься. _ ОРИГИНАЛ.mp4:shield [1073]
AlternateDataStreams: C:\Users\sripa\Downloads\Подорвал ТЕБЯ.mp4:shield [1094]
AlternateDataStreams: C:\Users\sripa\Downloads\самое кринжовое видео на ютубе.mp4:shield [1099]
AlternateDataStreams: C:\Users\sripa\Downloads\Сейчас мы будем заниматься.mp4:shield [1062]
AlternateDataStreams: C:\Users\sripa\Downloads\хочешь себе женщину. да,а что ты с ней будешь делать.mp4:shield [1092]
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\sripa"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\Windows\System32\SECOPatcher.dll"
Remove-MpPreference -ExclusionPath "C:\Users\Maxim\AppData\Local\Temp\dControl.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Что с проблемой?
 
Раз уж вы спрашивате, значит всё готово?
Я заметил что всё исправилось ещё после AVbr, но решил написать на форум ради уверенности в том что с вирусом будет покончено.
Огромное вам спасибо за ваш усердный труд и помощь!
 
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Я заметил что теперь у меня не отображается наличие HDD на пк, не знаю с чем это может быть связано. Может быть вирус повредил жёсткий диск?

Либо же вирус сидит на нём, но тогда как мне его уничтожить?
 
Последнее редактирование:
Wrotyss написал(а):
Я заметил что теперь у меня не отображается наличие HDD на пк, не знаю с чем это может быть связано. Может быть вирус повредил жёсткий диск?
Нажмите для раскрытия...
Подробнее со скриншотом
 
А нет, ложная тревога, всё отлично. Просто по всей видимости когда чистил пк случайно задел SATA, поэтому диск не инициализировался в системе из-за плохого контакта с материнкой. Простите.
 
Обновляйте:

AMD Software v.24.7.1 Внимание! Скачать обновления
CrystalDiskInfo 8.17.8 v.8.17.8 Внимание! Скачать обновления
Git v.2.37.2.2 Внимание! Скачать обновления
Microsoft Office LTSC Professional Plus 2021 - en-us v.16.0.14332.20839 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Speccy v.1.32 Внимание! Скачать обновления
Microsoft Office LTSC Standard 2021 - en-us v.16.0.14332.20839 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.14332.20839 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Geeks3D FurMark 1.31.0.0 v.1.31.0.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9006 Внимание! Скачать обновления
Telegram Desktop v.5.9.2 Внимание! Скачать обновления
qBittorrent v.4.6.3 Внимание! Скачать обновления
Java 8 Update 333 v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-i586.exe - Windows Offline)^
Audacity 3.1.3 v.3.1.3 Внимание! Скачать обновления
REAPER (x64) v.7.08 Внимание! Скачать обновления
HandBrake 1.6.1 v.1.6.1 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
Opera GX Stable 115.0.5322.142 v.115.0.5322.142 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 89.0.4447.64 v.89.0.4447.64 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.1.5.736 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.132.0.6834.111 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
NVIDIA GeForce Experience 3.4.0.70 v.3.4.0.70 Внимание! Скачать обновления
Python 3.11.8 (64-bit) v.3.11.8150.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления

Рекомендую деинсталлировать:

CCleaner v.6.32 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

+++

Severnyj

Тема 'Рекомендации после удаления вредоносного ПО'

  1. Удалите инструменты, которые были использованы во время лечения:​

  2. Создайте новую точку восстановления и удалите старые точки.​

    1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    2. Нажмите Пуск - Программы – Стандартные –...
  • Like
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу