В работе Майнер John

Adonai47

Новый пользователь
Сообщения
17
Реакции
0
Добрый день. С утра комп начал себя странно вести. Но антивирус работал штатно, просто не удалял троян.
Поставил утилиту AVBr, удалил джона , вроде в хостс почистил, перезагрузил. Прогнал снова через утилиту.
После перезагрузки захожу снова в защитник виндовс, он пишет мне «Ваш системный администратор ограничил доступ к некоторым областям…».
Получается , что-то все же пошло не так, прошу помощи в данном вопросе!
 

Вложения

  • image.jpg
    image.jpg
    76.1 KB · Просмотры: 5
Прикрепляю лог
 

Вложения

  • CollectionLog-2024.03.30-15.02.zip
    136.2 KB · Просмотры: 3
Запускаете PowerShell от имени администратора и выполняете
PowerShell:
Set-MpPreference -UILockdown 0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Запускаете PowerShell от имени администратора и выполняете
PowerShell:
Set-MpPreference -UILockdown 0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
почему-то блокирует выполнение. Ошибка на блок защитника. Запускал с администратором.
 

Вложения

  • IMG_7956.jpeg
    IMG_7956.jpeg
    145.5 KB · Просмотры: 31
Последнее редактирование:
прогнал через фарбар
 

Вложения

  • FRST.txt
    50.8 KB · Просмотры: 1
  • Addition.txt
    80.9 KB · Просмотры: 1
Значит пойдем по более длительном пути

Task: {8290B135-A037-4486-86A7-47A7F7F388DE} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Файл не подписан] - ваше?
Почему-то блокирует выполнение. Ошибка на блок защитника. Запускал с администратором.
Судя по всему из-за AV: Kaspersky Internet Security, я у себя такую же ошибку поймал.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {63C9F8AD-7879-492C-AE10-56643B13529A} - \Microsoft\Windows\Setup\EM -> Нет файла <==== ВНИМАНИЕ
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Значит пойдем по более длительном пути

Task: {8290B135-A037-4486-86A7-47A7F7F388DE} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Файл не подписан] - ваше?

Судя по всему из-за AV: Kaspersky Internet Security, я у себя такую же ошибку поймал.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {63C9F8AD-7879-492C-AE10-56643B13529A} - \Microsoft\Windows\Setup\EM -> Нет файла <==== ВНИМАНИЕ
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    3 KB · Просмотры: 1
Несколько раз запускать скрипт не было нужды. Как поступим с окном защитника? Для решения проблемы нужно будет удалить сторонний антивирус, из-за него команда работы с защитником не отрабатывает.
 
Несколько раз запускать скрипт не было нужды. Как поступим с окном защитника? Для решения проблемы нужно будет удалить сторонний антивирус, из-за него команда работы с защитником не отрабатывает.
Первый раз txt не сохранился должным образом, поэтому впустую прогнал. Второй раз со скриптом уже полноценно.
Да могу удалить, вполне. Я так понимаю, проблема уже в сами запретах, оставленных майнером?
Вопрос только в том, мне теперь до ребута системы сторонний AV не поставить? Или переустановка решит проблему?
 
Примерный алгоритм:
1. Удалить сторонний антивирус
2. Выполнить команду и перезагрузить компьютер
3. Проверить результат, если все хорошо, то установить сторонний антивирус назад.

Или игнорировать проблему до момента удаления стороннего антивируса.
 
Примерный алгоритм:
1. Удалить сторонний антивирус
2. Выполнить команду и перезагрузить компьютер
3. Проверить результат, если все хорошо, то установить сторонний антивирус назад.

Или игнорировать проблему до момента удаления стороннего антивируса.
Безуспешно
 

Вложения

  • Fixlog.txt
    3 KB · Просмотры: 2
Значит будем изучать дальше
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 
Значит будем изучать дальше
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 

Вложения

  • FSS.txt
    2.5 KB · Просмотры: 5
И свежий лог Farbar Recovery Scan Tool, подготовьте, пожалуйста и продолжим уже утром.
 
Да ,хорошо. Прилагаю:
 

Вложения

  • Addition.txt
    79.2 KB · Просмотры: 3
  • FRST.txt
    44.3 KB · Просмотры: 2
Так сторонний антивирус на месте
AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    S1 epp; \??\C:\EmsisoftCmd\epp.sys [X]
    U4 npcap_wifi; отсутствует ImagePath
    U0 Partizan; system32\drivers\Partizan.sys [X]
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    Hosts:
    FirewallRules: [{C464E91E-4CDF-4B67-A931-825C1822C242}] => (Allow) LPort=57209
    FirewallRules: [{679B7A1B-9C52-4D5C-9307-1FEB8730130C}] => (Allow) LPort=57210
    FirewallRules: [{94322482-CAB2-447B-8B45-3F49E6BF210D}] => (Allow) LPort=57211
    FirewallRules: [{DD9E3160-EE4B-4396-9493-10CCBFF7BA4D}] => (Allow) LPort=57212
    FirewallRules: [{83DC9AAF-449B-4DA8-AF26-5C6942613A31}] => (Allow) LPort=57213
    FirewallRules: [{F9612390-EB14-4098-B5D1-1A28A5C5ACE3}] => (Allow) LPort=57214
    FirewallRules: [{627CB51C-9106-4488-B2D1-41895BA3FE52}] => (Allow) LPort=57215
    FirewallRules: [{7CE6D514-9EB3-45C7-88A7-DFD2412DC652}] => (Allow) LPort=57216
    FirewallRules: [{86D6300F-151F-43EB-A08A-7C15C0DB4695}] => (Allow) LPort=57217
    FirewallRules: [{07607445-A7EE-4D55-BC42-63C6321A48BA}] => (Allow) LPort=57218
    FirewallRules: [{D26FB404-F364-4D6D-8F6F-7BD23B87044E}] => (Allow) LPort=57209
    FirewallRules: [{9DB6E397-357E-4A93-A832-D2378E927563}] => (Allow) LPort=57210
    FirewallRules: [{FD216E5B-3BF3-4C23-BD00-07CA3D853742}] => (Allow) LPort=57211
    FirewallRules: [{9971DC8A-48EF-4BBD-ACA4-8F010F8ACD66}] => (Allow) LPort=57212
    FirewallRules: [{E5C22B63-86C4-48F7-A808-BB441D231C9E}] => (Allow) LPort=57213
    FirewallRules: [{0AA397D3-3055-4268-80B4-43DEC636A2A5}] => (Allow) LPort=57214
    FirewallRules: [{7D088108-00B7-41D6-9472-9A2D5D549D26}] => (Allow) LPort=57215
    FirewallRules: [{3BBD8CE2-AFC9-4B26-B838-C60D0C078B3C}] => (Allow) LPort=57216
    FirewallRules: [{162BBA72-F0AB-4195-97BE-B22E5D8EA442}] => (Allow) LPort=57217
    FirewallRules: [{FA586643-78ED-401C-8242-705BB5A4EE45}] => (Allow) LPort=57218
    FirewallRules: [{1E50D414-B1E8-4E93-A9FC-369492CAB8A9}] => (Allow) LPort=23007
    FirewallRules: [{F41BC770-6192-4F3D-8AD1-DDD042946DAA}] => (Allow) LPort=23008
    FirewallRules: [{2C3B5032-13A2-43A7-869E-4A761B617ED5}] => (Allow) LPort=33009
    FirewallRules: [{4E5A59BE-C61A-4085-B35B-A329272A22A0}] => (Allow) LPort=33010
    FirewallRules: [{792118FB-201E-41C4-A693-7F67EDDC84BA}] => (Allow) LPort=33011
    FirewallRules: [{C011AC75-793D-4DD8-9A92-EDB17F1F7FEC}] => (Allow) LPort=43012
    FirewallRules: [{C19FB930-012C-4C6C-BB20-03B2EEFAC5B1}] => (Allow) LPort=43013
    FirewallRules: [{C3F25105-C4FE-4061-9112-842B8E5247CD}] => (Allow) LPort=53014
    FirewallRules: [{771CDF9A-9F2A-4353-B5E4-A7F1BA988CB1}] => (Allow) LPort=53015
    FirewallRules: [{B14D0072-2E94-4C9B-A914-C075B68D5EDE}] => (Allow) LPort=53016
    FirewallRules: [{A50C59E8-F958-4A03-818E-CDB63255F899}] => (Allow) LPort=23007
    FirewallRules: [{096E4B8E-625A-462E-82E5-08184B393FEF}] => (Allow) LPort=23008
    FirewallRules: [{30A7045F-BFC8-4941-9027-221C51A9A8E2}] => (Allow) LPort=33009
    FirewallRules: [{0745C58B-CC35-45E1-9FFE-08593DB9E0A3}] => (Allow) LPort=33010
    FirewallRules: [{1041B477-D90E-41DA-B10F-346302D98DEA}] => (Allow) LPort=33011
    FirewallRules: [{FB7F04FB-BFD3-4F64-8D3E-FC4B4D6B4203}] => (Allow) LPort=43012
    FirewallRules: [{6C08FB14-D127-421D-83D9-B7E2122AA3D6}] => (Allow) LPort=43013
    FirewallRules: [{DF3C352F-3316-48F3-AA61-64D392FA3CBA}] => (Allow) LPort=53014
    FirewallRules: [{ADCA8C7F-7CDD-408F-ADBB-39D11DE57AC2}] => (Allow) LPort=53015
    FirewallRules: [{896968D5-A32D-482E-9890-323D898EA1D7}] => (Allow) LPort=53016
    FirewallRules: [{E6DBFA59-D25D-4B2D-8E61-AA4469A5CEBA}] => (Allow) LPort=50053
    FirewallRules: [{74981C8E-C656-4CC0-9F7A-4B7803553137}] => (Allow) LPort=50053
    StartPowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -UILockdown 0
    Set-MpPreference -ScanPurgeItemsAfterDelay 1
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    EndPowershell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Addition.txt
    78.8 KB · Просмотры: 1
  • FRST.txt
    45.1 KB · Просмотры: 1
Назад
Сверху Снизу