Закрыто Майнер John

[Adonai47]

Добрый день. С утра комп начал себя странно вести. Но антивирус работал штатно, просто не удалял троян.
Поставил утилиту AVBr, удалил джона , вроде в хостс почистил, перезагрузил. Прогнал снова через утилиту.
После перезагрузки захожу снова в защитник виндовс, он пишет мне «Ваш системный администратор ограничил доступ к некоторым областям…».
Получается , что-то все же пошло не так, прошу помощи в данном вопросе!

 

[Adonai47]

Прикрепляю лог

 

[akok]

Запускаете PowerShell от имени администратора и выполняете

Set-MpPreference -UILockdown 0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Adonai47]

Запускаете PowerShell от имени администратора и выполняете

Set-MpPreference -UILockdown 0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

почему-то блокирует выполнение. Ошибка на блок защитника. Запускал с администратором.

 

[Adonai47]

прогнал через фарбар

 

[akok]

Значит пойдем по более длительном пути

Task: {8290B135-A037-4486-86A7-47A7F7F388DE} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Файл не подписан] - ваше?

Почему-то блокирует выполнение. Ошибка на блок защитника. Запускал с администратором.

Судя по всему из-за AV: Kaspersky Internet Security, я у себя такую же ошибку поймал.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {63C9F8AD-7879-492C-AE10-56643B13529A} - \Microsoft\Windows\Setup\EM -> Нет файла <==== ВНИМАНИЕ
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Adonai47]

Task: {8290B135-A037-4486-86A7-47A7F7F388DE} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Файл не подписан] - ваше?

Возможно когда с wireshark-ом работал, да

 

[Adonai47]

Значит пойдем по более длительном пути

Task: {8290B135-A037-4486-86A7-47A7F7F388DE} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Файл не подписан] - ваше?

Судя по всему из-за AV: Kaspersky Internet Security, я у себя такую же ошибку поймал.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {63C9F8AD-7879-492C-AE10-56643B13529A} - \Microsoft\Windows\Setup\EM -> Нет файла <==== ВНИМАНИЕ
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Несколько раз запускать скрипт не было нужды. Как поступим с окном защитника? Для решения проблемы нужно будет удалить сторонний антивирус, из-за него команда работы с защитником не отрабатывает.

 

[Adonai47]

Несколько раз запускать скрипт не было нужды. Как поступим с окном защитника? Для решения проблемы нужно будет удалить сторонний антивирус, из-за него команда работы с защитником не отрабатывает.

Первый раз txt не сохранился должным образом, поэтому впустую прогнал. Второй раз со скриптом уже полноценно.
Да могу удалить, вполне. Я так понимаю, проблема уже в сами запретах, оставленных майнером?
Вопрос только в том, мне теперь до ребута системы сторонний AV не поставить? Или переустановка решит проблему?

 

[akok]

Примерный алгоритм:
1. Удалить сторонний антивирус
2. Выполнить команду и перезагрузить компьютер
3. Проверить результат, если все хорошо, то установить сторонний антивирус назад.

Или игнорировать проблему до момента удаления стороннего антивируса.

 

[Adonai47]

Понял, сейчас сделаю

 

[Adonai47]

Примерный алгоритм:
1. Удалить сторонний антивирус
2. Выполнить команду и перезагрузить компьютер
3. Проверить результат, если все хорошо, то установить сторонний антивирус назад.

Или игнорировать проблему до момента удаления стороннего антивируса.

Безуспешно

 

[akok]

Значит будем изучать дальше
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[Adonai47]

Значит будем изучать дальше
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[akok]

И свежий лог Farbar Recovery Scan Tool, подготовьте, пожалуйста и продолжим уже утром.

 

[Adonai47]

Да ,хорошо. Прилагаю:

 

[akok]

Так сторонний антивирус на месте
AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S1 epp; \??\C:\EmsisoftCmd\epp.sys [X]
  U4 npcap_wifi; отсутствует ImagePath
  U0 Partizan; system32\drivers\Partizan.sys [X]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  Hosts:
  FirewallRules: [{C464E91E-4CDF-4B67-A931-825C1822C242}] => (Allow) LPort=57209
  FirewallRules: [{679B7A1B-9C52-4D5C-9307-1FEB8730130C}] => (Allow) LPort=57210
  FirewallRules: [{94322482-CAB2-447B-8B45-3F49E6BF210D}] => (Allow) LPort=57211
  FirewallRules: [{DD9E3160-EE4B-4396-9493-10CCBFF7BA4D}] => (Allow) LPort=57212
  FirewallRules: [{83DC9AAF-449B-4DA8-AF26-5C6942613A31}] => (Allow) LPort=57213
  FirewallRules: [{F9612390-EB14-4098-B5D1-1A28A5C5ACE3}] => (Allow) LPort=57214
  FirewallRules: [{627CB51C-9106-4488-B2D1-41895BA3FE52}] => (Allow) LPort=57215
  FirewallRules: [{7CE6D514-9EB3-45C7-88A7-DFD2412DC652}] => (Allow) LPort=57216
  FirewallRules: [{86D6300F-151F-43EB-A08A-7C15C0DB4695}] => (Allow) LPort=57217
  FirewallRules: [{07607445-A7EE-4D55-BC42-63C6321A48BA}] => (Allow) LPort=57218
  FirewallRules: [{D26FB404-F364-4D6D-8F6F-7BD23B87044E}] => (Allow) LPort=57209
  FirewallRules: [{9DB6E397-357E-4A93-A832-D2378E927563}] => (Allow) LPort=57210
  FirewallRules: [{FD216E5B-3BF3-4C23-BD00-07CA3D853742}] => (Allow) LPort=57211
  FirewallRules: [{9971DC8A-48EF-4BBD-ACA4-8F010F8ACD66}] => (Allow) LPort=57212
  FirewallRules: [{E5C22B63-86C4-48F7-A808-BB441D231C9E}] => (Allow) LPort=57213
  FirewallRules: [{0AA397D3-3055-4268-80B4-43DEC636A2A5}] => (Allow) LPort=57214
  FirewallRules: [{7D088108-00B7-41D6-9472-9A2D5D549D26}] => (Allow) LPort=57215
  FirewallRules: [{3BBD8CE2-AFC9-4B26-B838-C60D0C078B3C}] => (Allow) LPort=57216
  FirewallRules: [{162BBA72-F0AB-4195-97BE-B22E5D8EA442}] => (Allow) LPort=57217
  FirewallRules: [{FA586643-78ED-401C-8242-705BB5A4EE45}] => (Allow) LPort=57218
  FirewallRules: [{1E50D414-B1E8-4E93-A9FC-369492CAB8A9}] => (Allow) LPort=23007
  FirewallRules: [{F41BC770-6192-4F3D-8AD1-DDD042946DAA}] => (Allow) LPort=23008
  FirewallRules: [{2C3B5032-13A2-43A7-869E-4A761B617ED5}] => (Allow) LPort=33009
  FirewallRules: [{4E5A59BE-C61A-4085-B35B-A329272A22A0}] => (Allow) LPort=33010
  FirewallRules: [{792118FB-201E-41C4-A693-7F67EDDC84BA}] => (Allow) LPort=33011
  FirewallRules: [{C011AC75-793D-4DD8-9A92-EDB17F1F7FEC}] => (Allow) LPort=43012
  FirewallRules: [{C19FB930-012C-4C6C-BB20-03B2EEFAC5B1}] => (Allow) LPort=43013
  FirewallRules: [{C3F25105-C4FE-4061-9112-842B8E5247CD}] => (Allow) LPort=53014
  FirewallRules: [{771CDF9A-9F2A-4353-B5E4-A7F1BA988CB1}] => (Allow) LPort=53015
  FirewallRules: [{B14D0072-2E94-4C9B-A914-C075B68D5EDE}] => (Allow) LPort=53016
  FirewallRules: [{A50C59E8-F958-4A03-818E-CDB63255F899}] => (Allow) LPort=23007
  FirewallRules: [{096E4B8E-625A-462E-82E5-08184B393FEF}] => (Allow) LPort=23008
  FirewallRules: [{30A7045F-BFC8-4941-9027-221C51A9A8E2}] => (Allow) LPort=33009
  FirewallRules: [{0745C58B-CC35-45E1-9FFE-08593DB9E0A3}] => (Allow) LPort=33010
  FirewallRules: [{1041B477-D90E-41DA-B10F-346302D98DEA}] => (Allow) LPort=33011
  FirewallRules: [{FB7F04FB-BFD3-4F64-8D3E-FC4B4D6B4203}] => (Allow) LPort=43012
  FirewallRules: [{6C08FB14-D127-421D-83D9-B7E2122AA3D6}] => (Allow) LPort=43013
  FirewallRules: [{DF3C352F-3316-48F3-AA61-64D392FA3CBA}] => (Allow) LPort=53014
  FirewallRules: [{ADCA8C7F-7CDD-408F-ADBB-39D11DE57AC2}] => (Allow) LPort=53015
  FirewallRules: [{896968D5-A32D-482E-9890-323D898EA1D7}] => (Allow) LPort=53016
  FirewallRules: [{E6DBFA59-D25D-4B2D-8E61-AA4469A5CEBA}] => (Allow) LPort=50053
  FirewallRules: [{74981C8E-C656-4CC0-9F7A-4B7803553137}] => (Allow) LPort=50053
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Adonai47]

Так сторонний антивирус на месте
AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}