Решена Как удалить скрытую папку пользователя

[kilka]

Доброго времени суток, случайно наткнулся сегодня у себя на скрытую папку пользователя "john" и улетел на час в кроличью нору гуглофрении.
Запустив наконец в безопасном режиме AVBR и в обычном режиме фарбар сканер, я пришёл к вам за дальнейшими инструкциями

 

[kilka]

Честно скажу, что понятия не имею насколько долго этот майнер мог у меня быть, в списке последних созданых файлов в логе фарбара нет вообще ничего, что реалистично могло его туда занести, даже ни одного mkv фильма со скриптами в субтитрах

 

[Sandor]

Здравствуйте!

Заражение произошло скорее всего при установке какого-нибудь "репака" игры, скачанного с торрента. Или при установке активатора.

AVbr отработал успешно, дочистим некоторые хвосты.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {30B5B2FC-BA92-47DD-A2AE-A497DDD7F771} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  Task: {3CABDB7B-F07D-4DF0-8950-28234A2F7A4C} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (No File) <==== ATTENTION
  Task: {6334EC27-BFC4-44E0-9C95-E3968E6F69BF} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  Task: {91EE2224-83FD-4306-884E-7808EBAC76F8} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (No File) <==== ATTENTION
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[kilka]

Отключите до перезагрузки антивирус.

У меня стоит только defender, речь идёт именно об отключении "защиты в живом режиме"?
И о какой перезагрузке речь? Мне нужно будет сейчас перезагрузить компьютер перед выполнением скрипта, или мне надо будет отключить защиту в любой момент до автоматической перезагрузки скриптом?

 

[Sandor]

речь идёт именно об отключении "защиты в живом режиме"?

Да.

о какой перезагрузке речь?

После выполнения скрипта будет предупреждение о том, что компьютер будет перезагружен. Поэтому до выполнения сохраните что не сохранено и закройте по максимуму все запущенные приложения.

 

[kilka]

Сделано. Несколько раз думал, что компьютер собрался умирать, но обошлось

Здравствуйте!

Заражение произошло скорее всего при установке какого-нибудь "репака" игры, скачанного с торрента. Или при установке активатора.

AVbr отработал успешно, дочистим некоторые хвосты.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {30B5B2FC-BA92-47DD-A2AE-A497DDD7F771} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  Task: {3CABDB7B-F07D-4DF0-8950-28234A2F7A4C} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (No File) <==== ATTENTION
  Task: {6334EC27-BFC4-44E0-9C95-E3968E6F69BF} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  Task: {91EE2224-83FD-4306-884E-7808EBAC76F8} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (No File) <==== ATTENTION
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Хорошо, дополнительно:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[kilka]

он по дефолту uторрент теперь определяет как угрозу, или у меня и торрент клиент заражённый?

Хорошо, дополнительно:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Sandor]

Если уже закрыли, повторите сканирование и удалите (поместите в карантин) только это:

Registry Value: 2
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, No Action By User, 6383, 676881, 1.0.64960, , ame, , ,
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, No Action By User, 6383, 676881, 1.0.64960, , ame, , ,

 

[kilka]

Если уже закрыли, повторите сканирование и удалите (поместите в карантин) только это:

Сделано. Спасибо большое вам!

 

[Sandor]

Хорошо. Если проблема решена, в завершение:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[kilka]

Готово

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 6.2.5.2 v.6.2.5.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.3.11 Внимание! Скачать обновления
FastStone Image Viewer 7.3 v.7.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.10.1 (4420) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
ProtonVPN v.2.3.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46514 Внимание! Клиент сети P2P с рекламным модулем!.
BitComet 1.76 v.1.76 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
foobar2000 v1.5 v.1.5 Внимание! Скачать обновления
K-Lite Codec Pack 15.0.4 Standard v.15.0.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 77.0.4054.146 v.77.0.4054.146 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 93.0.4585.84 v.93.0.4585.84 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

 

[kilka]

У меня на всё это стоит автообновление, странно, что версии не совпадают.
Спасибо огромное ещё раз!

--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 6.2.5.2 v.6.2.5.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.3.11 Внимание! Скачать обновления
FastStone Image Viewer 7.3 v.7.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.10.1 (4420) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
ProtonVPN v.2.3.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46514 Внимание! Клиент сети P2P с рекламным модулем!.
BitComet 1.76 v.1.76 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
foobar2000 v1.5 v.1.5 Внимание! Скачать обновления
K-Lite Codec Pack 15.0.4 Standard v.15.0.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 77.0.4054.146 v.77.0.4054.146 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 93.0.4585.84 v.93.0.4585.84 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО