Решена Помощь в удалении вредоносных ПО в hijackthis, пользователь John

Статус
В этой теме нельзя размещать новые ответы.
U

usufb

Новый пользователь
Сообщения
14
Реакции
0
Ранее решал вопрос с скрытым пользователем John сейчас закрывает антивирусы и браузер
 

Вложения

  • HiJackThis.log
    24.4 KB · Просмотры: 5
Здравствуйте , появился пользователь John при установке антивирусов показывает что действие запрещено администратором при входе в браузер он закрывается rkill пробовал через телефон загрузил активировал не помогло все также хоть и показывает что удалил что то, в диспетчере задач заметил скрытые майнеры с именами системных служб и т.п , можете помочь с данной проблемой
P.s не дает создать точку восстоновления и не могу сбросить данные с пк
 
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
Вот, при повторных сканированиях показывает что обнаружен один и тот же майнер
 

Вложения

  • AV_block_remove_2023.01.15-22.38.log
    11.2 KB · Просмотры: 2
usufb написал(а):
Вот, при повторных сканированиях показывает что обнаружен один и тот же майнер
Нажмите для раскрытия...
Судя по логу он у вас обнаруживает не майнер, а целых 6 антивирусов. Антивирус должен быть только один, остальные удалите, если есть проблемы с удалением, то https://www.safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
Кроме того похоже вы ещё занимались самолечением.
 
regist написал(а):
Судя по логу он у вас обнаруживает не майнер, а целых 6 антивирусов. Антивирус должен быть только один, остальные удалите, если есть проблемы с удалением, то https://www.safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
Кроме того похоже вы ещё занимались самолечением.
Нажмите для раскрытия...
что посоветуете сделать??
 
Последнее редактирование:
regist написал(а):
Судя по логу он у вас обнаруживает не майнер, а целых 6 антивирусов. Антивирус должен быть только один, остальные удалите, если есть проблемы с удалением, то https://www.safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
Кроме того похоже вы ещё занимались самолечением.
Нажмите для раскрытия...
еще один лог от FRST может что увидите здесь
 

Вложения

  • Addition.txt
    39.2 KB · Просмотры: 3
  • FRST.txt
    39.1 KB · Просмотры: 4
  • Fixlog.txt
    3.4 KB · Просмотры: 7
Что за скрипт выполняли и откуда он?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {434E63DE-EA71-4970-82F7-17B1793A425A} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {69658059-4C7A-49DC-A40D-E4FCDE10FB2E} - System32\Tasks\Opera scheduled Autoupdate 1637678437 => C:\Users\123\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {6F598324-4852-4D2E-878E-EAB33DF158C6} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
Task: {7823E053-724B-4F56-986A-C1F417AC560F} - System32\Tasks\Opera scheduled Autoupdate 1673286184 => C:\Users\123\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {BFC4CE62-18F3-4010-878D-7EE873C5D2CB} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]

EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
akok написал(а):
Что за скрипт выполняли и откуда он?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {434E63DE-EA71-4970-82F7-17B1793A425A} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {69658059-4C7A-49DC-A40D-E4FCDE10FB2E} - System32\Tasks\Opera scheduled Autoupdate 1637678437 => C:\Users\123\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {6F598324-4852-4D2E-878E-EAB33DF158C6} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
Task: {7823E053-724B-4F56-986A-C1F417AC560F} - System32\Tasks\Opera scheduled Autoupdate 1673286184 => C:\Users\123\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {BFC4CE62-18F3-4010-878D-7EE873C5D2CB} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]

EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
данный скрипт я выполнил
Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [682]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [682]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
данный код который я использовал отсюда:https://www.safezone.cc/posts/322205/
 

Вложения

  • Addition.txt
    56.9 KB · Просмотры: 1
  • Fixlog.txt
    6 KB · Просмотры: 2
  • FRST.txt
    39.1 KB · Просмотры: 1
Последнее редактирование:
Скрипты пишутся индивидуально, поэтому не удивительно, что у вас ничего не изменилось. Хорошо еще, что не испортили систему.

Что сейчас с проблемой?
 
Sandor написал(а):
Скрипты пишутся индивидуально, поэтому не удивительно, что у вас ничего не изменилось. Хорошо еще, что не испортили систему.

Что сейчас с проблемой?
Нажмите для раскрытия...
Да,поспешил. проблемы с вирусом нет, все отлично но жду указаний на следующее действие от akok
 
Пока ждёте, сделайте дополнительно:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Sandor написал(а):
Пока ждёте, сделайте дополнительно:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Нажмите для раскрытия...
При скачивании показывает данную ошибка: Возникла ошибка из за которой не удалось скачать walwarebytes на ваш компьютер
 

Вложения

  • scan.txt
    4.8 KB · Просмотры: 2
Удалять в Malwarebytes ничего не нужно.

Проделайте завершающие шаги:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Sandor написал(а):
Удалять в Malwarebytes ничего не нужно.

Проделайте завершающие шаги:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Нажмите для раскрытия...
 

Вложения

  • SecurityCheck.txt
    8.7 KB · Просмотры: 3
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.11.5.709 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Update Helper v.1.8.1583.3 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу