Закрыто Поймал майнер, есть некий пользователь John

Статус
В этой теме нельзя размещать новые ответы.
A

Alex_Tribunal

Новый пользователь
Сообщения
21
Реакции
0
Здравствуйте, прошу у вас помощи. Поймал майнер, видимо когда что-то загружал. Не давал открыть никакие антивирускники, после чего с флешки в безопасном установил dr.web cureit, он всё просканировал, что-то было исправлено, но avbr показывает что есть пользователь John, но почему-то процесс удаления его не идёт
 
Здравствуйте!

Alex_Tribunal написал(а):
но avbr показывает что есть пользователь John, но почему-то процесс удаления его не идёт
Нажмите для раскрытия...
Запускайте его из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
 
1 - av_block
2- collection log
 

Вложения

  • AV_block_remove_2023.02.06-17.25.log
    10 KB · Просмотры: 4
  • CollectionLog-2023.02.06-17.30.zip
    85 KB · Просмотры: 6
Дальнейшие шаги производите в нормальном режиме.

Программы от производителя IObit относятся к нежелательному ПО, поэтому деинсталлируйте их наряду с другими через Панель управления - Удаление программ:
Adobe Flash Player 28 PPAPI
Adobe Flash Player 29 NPAPI
Advanced SystemCare 12
Bonjour
Driver Booster 10
Нажмите для раскрытия...


"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Код: 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = https://suggests.go.mail.ru/ie8?q={searchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = https://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B485EBF0B-F1EB-4A0E-AE4C-BC3829521E02%7D&gp=813028 - Поиск@Mail.Ru
O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
O22 - Tasks: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_171_Plugin.exe -check plugin
O22 - Tasks: Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 - C:\Program Files\Bitdefender Agent\26.0.1.233_0\WatchDog.exe repair (file missing)
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последние 3 программы удалить не даёт, каждый раз ошибка "Отказано в доступе".
Отчеты:
 

Вложения

  • Addition.txt
    611.3 KB · Просмотры: 4
  • FRST.txt
    107.6 KB · Просмотры: 4
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Task: {0A9856D1-EBC5-4409-AD51-63E17824C4D6} - \Skyrim Updater -> Нет файла <==== ВНИМАНИЕ
Task: {0C2C5496-FFBF-4430-B2B3-1F9C4DEAD937} - \{3A9CA7C4-FD0A-9F2A-09DA-AC30B158EFCB} -> Нет файла <==== ВНИМАНИЕ
Task: {15878E16-3D62-4C51-AF8F-11B7E4C5339D} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {3373F45E-12E0-43FF-8B00-8F72E189DF15} - \Skyrim Updater2 -> Нет файла <==== ВНИМАНИЕ
Task: {34FA24A9-8888-4C99-95BC-C556D04B7F7C} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {7539CB51-E81F-4E36-ABC2-225B91D0C6BC} - \User -> Нет файла <==== ВНИМАНИЕ
Task: {BC30BC11-7D26-4913-A407-D1D1063F2734} - \{337BA86C-FAF3-2C67-5AB7-DEBAE22D0BDE} -> Нет файла <==== ВНИМАНИЕ
Task: {BC4AE534-5E3D-4516-81C0-583BD26F71FB} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Task: {0A9856D1-EBC5-4409-AD51-63E17824C4D6} - \Skyrim Updater -> Нет файла <==== ВНИМАНИЕ
Task: {0C2C5496-FFBF-4430-B2B3-1F9C4DEAD937} - \{3A9CA7C4-FD0A-9F2A-09DA-AC30B158EFCB} -> Нет файла <==== ВНИМАНИЕ
Task: {15878E16-3D62-4C51-AF8F-11B7E4C5339D} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {3373F45E-12E0-43FF-8B00-8F72E189DF15} - \Skyrim Updater2 -> Нет файла <==== ВНИМАНИЕ
Task: {34FA24A9-8888-4C99-95BC-C556D04B7F7C} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {7539CB51-E81F-4E36-ABC2-225B91D0C6BC} - \User -> Нет файла <==== ВНИМАНИЕ
Task: {BC30BC11-7D26-4913-A407-D1D1063F2734} - \{337BA86C-FAF3-2C67-5AB7-DEBAE22D0BDE} -> Нет файла <==== ВНИМАНИЕ
Task: {BC4AE534-5E3D-4516-81C0-583BD26F71FB} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
 

Вложения

  • Fixlog.txt
    6 KB · Просмотры: 4
Что с проблемой?
 
akok написал(а):
Что с проблемой?
Нажмите для раскрытия...
Всё равно есть ощущение что майнер не ушел, комп всё также гудит, а при открытии диспетчера задач большая загрузка цп, а avbr всё еще выдаёт что майнер есть
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    133.9 KB · Просмотры: 45
Последний отчёт AVbr покажите, пожалуйста.
 
Вот
 

Вложения

  • AV_block_remove_2023.02.07-13.24.log
    12.4 KB · Просмотры: 1
Alex_Tribunal написал(а):
при открытии диспетчера задач большая загрузка цп
Нажмите для раскрытия...
Если это кратковременный скачок загрузки, то такое поведение нормально.

Сделаем всё же дополнительную проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Sandor написал(а):
Если это кратковременный скачок загрузки, то такое поведение нормально.

Сделаем всё же дополнительную проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Нажмите для раскрытия...
Не даёт установить даже через безопасный режим, перезагрузка не помогает
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    5.4 KB · Просмотры: 37
  • 2.PNG
    2.PNG
    3.4 KB · Просмотры: 32
Как видите, тут тоже чисто.

Завершаем:
1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.6 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.7 v.4.7.02053 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
OpenOffice 4.1.10 v.4.110.9807 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 10.0.1 (64-bit) v.10.0.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-19_windows-x64_bin.exe).
Java 8 Update 271 v.8.0.2710.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-i586.exe - Windows Offline)^
-------------------------------- [ Media ] --------------------------------
Audacity 3.0.0 v.3.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.3 v.12.3.2.202 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.75 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Advanced SystemCare 12 v.12.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 10 v.10.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Game Repack ot xatab 1.0 v.1.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
System Table Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Что не удаляется стандартно, удаляйте принудительно через Geek Uninstaller

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу