Решена Подозрение на вирус-майнер: скрытый пользователь John

  • Автор темы Автор темы YG_2024
  • Дата начала Дата начала
  • Теги Теги
    john
Статус
В этой теме нельзя размещать новые ответы.

YG_2024

Новый пользователь
Сообщения
9
Реакции
1
Доброго времени суток! Обнаружил нового пользователя John. Я так понимаю вирус-майнер. Нужна помощь. Логи прикрпеляю
 

Вложения

Последнее редактирование:
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Advanced Driver Updater
DriversCloud.com
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S2 GoogleUpdaterInternalService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    S2 GoogleUpdaterService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    AV: Kaspersky Total Security (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
    AS: Kaspersky Total Security (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
    FW: Kaspersky Total Security (Enabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [133]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [134]
    FirewallRules: [{A85F288A-5556-428A-9315-4BBE50233CA4}] => (Allow) LPort=50005
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


"Пофиксите" в HijackThis только следующие строки:
Код:
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen
Перезагрузите ещё раз компьютер вручную и соберите новый CollectionLog Автологером.
 
Вот такое вылезло/Еще не делал перезагрузку после фиксинга. перезагружаю?
 

Вложения

  • Screenshot_6.webp
    Screenshot_6.webp
    20.2 KB · Просмотры: 30
Последнее редактирование:
При выполнении инструкций стандартную защиту желательно отключать. Лечить ничего не нужно, перезагружайте.
 
Хорошо. Что-то из проблем ещё сохраняется?
 
Да вроде все сделали. Пользователь пропал, комп заработал намного быстрее.
Спасибо
 
Отлично, значит завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

TeamViewer v.15.45.3 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Python 3.10.0 (64-bit) v.3.10.150.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Total Commander (Remove or Repair) v.9.0a Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.8070 Внимание! Скачать обновления
Zoom v.5.13.11 (13434) Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
BitTorrent v.7.11.0.46923 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex (All Users) v.23.11.1.843 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.10 beta 2 v.9.10 beta 2 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.9.18.7.1508 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО
 
Спасибо, все сделал.Тему можно закрывать
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу