Решена Не могу удалить майнер John

Переводчик Google

vlad_white

Новый пользователь
Сообщения
7
Реакции
2
Около года назад у меня начал сильно тормозить компьютер. Думал что проблема в ноутбуке. Знакомые подсказали, что может быть майнер или вирус. Решил проверить и оказалось действительно есть майнеры и вирус. Поначалу не удавалось даже скачать антивирус, так как вредоносное ПО блокировало сайты.
Через флешку установил Касперского на ноутбук и запустил проверку. Касперский обнаружил троян и майнер Microsoft Host, все удалил.
Чуть позже заметил, что есть скрытый пользователь John, еще один майнер. Вычитал на форуме про AV_block_remover, скачал и несколько раз запустил, прикрепляю все логи.
Больше ничего, кроме проверок Касперского и запуска AVbr не делал. Пользователь John все еще существует, не могу его удалить, При открытии диспетчера задач нагрузка на ЦП составляет 100%, и потом падает до 7-15%. Знаю, что провисания нагрузки при запуске существует, но не до 100% ведь.
Помогите решить проблему, пожалуйста. Подозреваю, что могут быть и другие проблемы.
 

Вложения

Прикрепляю логи, вроде сделал все по инструкции
 

Вложения

Последнее редактирование:
"Пофиксите" в HijackThis только следующие строки:
Код:
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал все по инструкции, прикрепляю отчеты.
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1652652513-971678165-1838870451-1001\...\MountPoints2: {e16f67f5-3cf7-11ed-adab-38d57a835cc8} - "D:\autorun.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    C:\Users\79320\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\fdhgeoginicibhagdmblfikbgbkahibd
    C:\Users\79320\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\okdacpiidbbphpjpfmecjjhicomjdeie
    C:\Users\79320\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho
    C:\Users\79320\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fheoggkfdfchfphceeifdbepaooicaho
    C:\Users\79320\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\glcimepnljoholdmjchkloafkggfoijh
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
    CHR HKLM\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
    CHR HKU\S-1-5-21-1652652513-971678165-1838870451-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
    CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
    2024-12-05 01:03 - 2022-10-17 21:07 - 000000000 __SHD C:\$360Section
    2024-12-05 01:03 - 2022-10-17 21:03 - 000000000 ____D C:\Users\79320\AppData\Roaming\360DesktopLite
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [302]
    FirewallRules: [{632342C5-E781-441C-B0AD-7B92413D776C}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{73491F21-49FD-418E-8ABA-39C0DA338380}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{BBEE95A0-7B42-46EF-9EFC-6EA10ADCD6FD}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{0D3ED3BE-2232-47C0-A832-E8F9934AD4AB}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{88C5612A-336F-4497-A18E-3F465DE40DE0}] => (Allow) C:\Users\79320\AppData\Local\360extremebrowser\Chrome\Application\22.3.5030.64\installer\360mlupdate.exe => Нет файла
    FirewallRules: [{54B32570-5EFA-4816-953A-F2A92948FD41}] => (Allow) C:\Users\79320\AppData\Local\360extremebrowser\Chrome\Application\22.3.5030.64\installer\360mlupdate.exe => Нет файла
    FirewallRules: [{B714F6BB-BD9D-44F5-B8D7-FE6CA0577C39}] => (Allow) LPort=1688
    FirewallRules: [{53D4C32B-31C0-4647-93BF-78A04E797665}] => (Allow) C:\Users\79320\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
    FirewallRules: [{FA091868-035F-470A-9398-C5FF5FB6C11C}] => (Allow) C:\Users\79320\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Хорошо. Что из проблем осталось?
 
Хорошо. Что из проблем осталось?
Вроде бы все хорошо, пользователя под именем John больше нет, но я не знаю есть ли еще какие-то проблемы по типу вирусов или майнеров на компьютере. Скачок нагрузки ЦП в диспетчере по прежнему от 100 до 9-15 процентов, но видимо так и должно быть. Сейчас провел полную проверку через Касперский, вирусов обнаружено не было.
Еще хотел уточнить, может ли вирусное по или майнеры залететь на флэшки, которыми я пользовался, или бояться нечего?

Большое спасибо за помощь!! Вы мне очень помогли!!
 
видимо так и должно быть
Верно. Это нормальное явление.
Нет, этот майнер не распространяется через внешние носители. Он попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прикрепляю
Верно. Это нормальное явление.
Нет, этот майнер не распространяется через внешние носители. Он попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

Исправьте по возможности:

Microsoft Office LTSC Standard 2021 - en-us v.16.0.14332.20812 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.14332.20812 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^

Читайте Рекомендации после удаления вредоносного ПО
 
Исправьте по возможности:

Microsoft Office LTSC Standard 2021 - en-us v.16.0.14332.20812 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.14332.20812 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^

Читайте Рекомендации после удаления вредоносного ПО
Хорошо, спасибо большое за помощь!
 
Назад
Сверху Снизу