Закрыто Появился новый user John, установщик kaspersky не запускается

[Gora3034]

Всем привет! У меня появился вирус, появился скрытый пользователь John, с помощью реестра разблокировал доступ к установке антивируса, прогнал ПК через dr.web Касперского и avbr, но до сих пор не уверен в том что мой пк чист

 

[Gora3034]

Помимо этого, в каталоге планировщика задач появилась папка s-7-6-... Которая постоянно выводит ПК из режима сна, при попытке удалить эту папку, выдает ошибку “у данной учетной записи нет разрешения на удаление папки этой задачи" я предлагаю что это все из-за того же вируса. Upd: прочитал правила для размещения темы, программа avz сама уберает галочку с диска "С" при проверке, это нормально?

 

[Gora3034]

Всем привет! У меня появился вирус, появился скрытый пользователь John, с помощью реестра разблокировал доступ к установке антивируса, прогнал ПК через dr.web Касперского и avbr, но до сих пор не уверен в том что мой пк чист

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) C:\Windows\System32\Tasks\S-7-6-95-1015281129-1166877725-1195279204-5143 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0D35ED3-5F45-495F-9308-03AE4C5CA6BD} - \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} (no xml)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Gora3034]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) C:\Windows\System32\Tasks\S-7-6-95-1015281129-1166877725-1195279204-5143 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0D35ED3-5F45-495F-9308-03AE4C5CA6BD} - \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} (no xml)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-2778225642-931012418-1774041939-1000\...\Run: [YandexBrowserAutoLaunch_17E5A87B9FB497C72279064B8F104F7E] => "C:\Users\Vlad\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [824]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [824]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [824]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [824]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [824]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6004]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT2 [824]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT2 [824]
  FirewallRules: [{4909B33D-7354-401E-BDB5-C97D45A3D924}] => (Allow) LPort=80
  FirewallRules: [{F0B51B6D-E052-4D07-8414-8818CA3DC319}] => (Allow) LPort=443
  FirewallRules: [{DE0F5BAD-EB35-4ABD-99B1-D04A9E22759D}] => (Allow) LPort=20010
  FirewallRules: [{86FEAA97-E970-4DD7-B0D3-9518A968A8CD}] => (Allow) LPort=3478
  FirewallRules: [{4CF8B1C9-016A-46CB-B12E-598BFDA0F717}] => (Allow) LPort=7850
  FirewallRules: [{38E085CB-F553-487E-B4F4-15E0872531C4}] => (Allow) LPort=7852
  FirewallRules: [{9D1174AA-0B07-4536-89A5-015C06A4CF7C}] => (Allow) LPort=7853
  FirewallRules: [{B2C68B46-F39C-4EB9-B4E4-238CAB722651}] => (Allow) LPort=27022
  FirewallRules: [{B323F951-55F8-4C67-9EF9-88D9E2A69ADD}] => (Allow) LPort=6881
  FirewallRules: [{142B5F1A-7497-4B61-B0E9-3891946B7C34}] => (Allow) LPort=33333
  FirewallRules: [{0BA69D76-2409-4ED6-AD56-D8A331AC1D36}] => (Allow) LPort=20443
  FirewallRules: [{71BAE6CC-B2EA-4EF5-BF0A-5404EBE70236}] => (Allow) LPort=8090
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Gora3034]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-2778225642-931012418-1774041939-1000\...\Run: [YandexBrowserAutoLaunch_17E5A87B9FB497C72279064B8F104F7E] => "C:\Users\Vlad\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [824]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [824]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [824]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [824]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [824]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6004]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT2 [824]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT2 [824]
  FirewallRules: [{4909B33D-7354-401E-BDB5-C97D45A3D924}] => (Allow) LPort=80
  FirewallRules: [{F0B51B6D-E052-4D07-8414-8818CA3DC319}] => (Allow) LPort=443
  FirewallRules: [{DE0F5BAD-EB35-4ABD-99B1-D04A9E22759D}] => (Allow) LPort=20010
  FirewallRules: [{86FEAA97-E970-4DD7-B0D3-9518A968A8CD}] => (Allow) LPort=3478
  FirewallRules: [{4CF8B1C9-016A-46CB-B12E-598BFDA0F717}] => (Allow) LPort=7850
  FirewallRules: [{38E085CB-F553-487E-B4F4-15E0872531C4}] => (Allow) LPort=7852
  FirewallRules: [{9D1174AA-0B07-4536-89A5-015C06A4CF7C}] => (Allow) LPort=7853
  FirewallRules: [{B2C68B46-F39C-4EB9-B4E4-238CAB722651}] => (Allow) LPort=27022
  FirewallRules: [{B323F951-55F8-4C67-9EF9-88D9E2A69ADD}] => (Allow) LPort=6881
  FirewallRules: [{142B5F1A-7497-4B61-B0E9-3891946B7C34}] => (Allow) LPort=33333
  FirewallRules: [{0BA69D76-2409-4ED6-AD56-D8A331AC1D36}] => (Allow) LPort=20443
  FirewallRules: [{71BAE6CC-B2EA-4EF5-BF0A-5404EBE70236}] => (Allow) LPort=8090
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-2778225642-931012418-1774041939-1000\...\Run: [YandexBrowserAutoLaunch_17E5A87B9FB497C72279064B8F104F7E] => "C:\Users\Vlad\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [824]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [824]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [824]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [824]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [824]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6004]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Vlad\Application Data:NT2 [824]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Vlad\AppData\Roaming:NT2 [824]
  FirewallRules: [{4909B33D-7354-401E-BDB5-C97D45A3D924}] => (Allow) LPort=80
  FirewallRules: [{F0B51B6D-E052-4D07-8414-8818CA3DC319}] => (Allow) LPort=443
  FirewallRules: [{DE0F5BAD-EB35-4ABD-99B1-D04A9E22759D}] => (Allow) LPort=20010
  FirewallRules: [{86FEAA97-E970-4DD7-B0D3-9518A968A8CD}] => (Allow) LPort=3478
  FirewallRules: [{4CF8B1C9-016A-46CB-B12E-598BFDA0F717}] => (Allow) LPort=7850
  FirewallRules: [{38E085CB-F553-487E-B4F4-15E0872531C4}] => (Allow) LPort=7852
  FirewallRules: [{9D1174AA-0B07-4536-89A5-015C06A4CF7C}] => (Allow) LPort=7853
  FirewallRules: [{B2C68B46-F39C-4EB9-B4E4-238CAB722651}] => (Allow) LPort=27022
  FirewallRules: [{B323F951-55F8-4C67-9EF9-88D9E2A69ADD}] => (Allow) LPort=6881
  FirewallRules: [{142B5F1A-7497-4B61-B0E9-3891946B7C34}] => (Allow) LPort=33333
  FirewallRules: [{0BA69D76-2409-4ED6-AD56-D8A331AC1D36}] => (Allow) LPort=20443
  FirewallRules: [{71BAE6CC-B2EA-4EF5-BF0A-5404EBE70236}] => (Allow) LPort=8090
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Не тот лог, нужен Fixlog.txt

 

[Gora3034]

Не тот лог, нужен Fixlog.txt

извиняюсь, мисскликнул

 

[Sandor]

Скрипт отработал успешно.

программа avz сама уберает галочку с диска "С" при проверке, это нормально?

Да, это нормально.

Дополнительно, пожалуйста:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Gora3034]

Пожалуйста не закрывайте тему, результаты скину по возможности завтра

 

[akok]

Ждем

 

[Sandor]

@Gora3034, как дела, получилось собрать лог?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!