Решена Новый пользователь и майнер John

HelloWorld!

Новый пользователь
Сообщения
30
Реакции
0
Доброго времени суток, при каждом запуске компьютера вылазят 2 окна: Командная строка и PowerShell. После нашел ещё одного пользователя John (Win + R netplwiz). В диспетчере задач показатели подозрительно разные (также прикрепляю скриншот). Также при открытии антивируса он вылетает (прикрепляю скрин) и при попытке открыть Autologger.exe открывается окно (также прикрепляю скрин)
 

Вложения

  • 1708932324484.webp
    1708932324484.webp
    8.7 KB · Просмотры: 39
  • 1708932349713.webp
    1708932349713.webp
    5.6 KB · Просмотры: 35
Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 
Скачал распаковал но после распаковки файлы исчезают (скачал версию со случайным именем, также не Рабочий стол и Загрузки)
 
Последнее редактирование:
Уточняю: после извлечения файлов какое-то время они присутствуют но потом исчезают.
 
Подождите некоторое время.
 
Измените системную дату на 5 дней назад (позже установите текущую) и запустите ещё раз AVbr.
Новый его лог прикрепите.
 
Не сработало. Утилита сейчас обновлена. Удалите предыдущую, скачайте заново (дату уже менять не нужно).
Запустите и после перезагрузки предоставьте новый отчёт.
 
Странно, утилита по-прежнему не отработала.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
И эта утилита отработала не до конца (скорее всего мешает антивирус Avira), но попробуем справиться с первопричиной.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
HKU\S-1-5-21-715955781-404919953-1104266293-1001\...\Policies\Explorer\DisallowRun: [27] rkill.exe
IFEO\MsMpEng.exe: [Debugger] C:\WINDOWS\system32\systray.exe
IFEO\SecurityHealthService.exe: [Debugger] C:\WINDOWS\system32\systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Program Files\ClassicTaskmgr\tm.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3A70AE1D-636F-46A7-833E-67E65FEE71C4} - System32\Tasks\Microsoft\Windows\DataBaseP\CknGIKO4vfNpk => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {73333A01-ED5F-49F2-8480-B74282F54FFA} - System32\Tasks\Microsoft\Windows\DataBaseP\RecoveryHosts => C:\ProgramData\Microsoft\Network\CknGIKO4vfNpk\DataBaseP.bat [2774 2024-02-25] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {1D905500-7A6A-439E-A865-1ACCB3BE785A} - System32\Tasks\Microsoft\Windows\DataBaseP\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ

Task: {0A31CD6F-B764-4799-9E8E-E89FAD781315} - System32\Tasks\Microsoft\Windows\WindowsBackup\CleanCash => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {E7CD1F69-3D8E-431E-94DD-6DE5B628226B} - System32\Tasks\Microsoft\Windows\WindowsBackup\CreedMobe => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {1FEEB726-4524-4E21-BBD9-C0F7A1D3F47F} - System32\Tasks\Microsoft\Windows\WindowsBackup\OfficeCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {1D86F4CD-1DAF-4A80-8E43-064E81D13073} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {038163DB-7931-447F-81D0-6B0F0778A4A7} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {736A1017-E55D-4F5F-85B4-4ACD07405FC8} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\Network\CknGIKO4vfNpk\Game.exe [55593854 2023-08-09] () [Файл не подписан]
Task: {90639611-C9D5-4D40-AA1B-7446B7C6AC5A} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {B1F82FAF-C692-482B-8D21-7D6FF5EF54F0} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Дальше все рекомендации выполняйте в нормальном режиме загрузки.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Отключите, а лучше деинсталлируйте Avira Security.

После этого попробуйте еще раз собрать логи AVBR.
 
Назад
Сверху Снизу