Решена Удалил John, что делать дальше?

spaaaceT_T

Новый пользователь
Сообщения
6
Реакции
0
Поймал майнер, удалил с помощью Avbr через безопасный режим, по другому файл просто закрывался. Что мне делать дальше?
 

Вложения

  • AV_block_remove_2023.01.21-04.35.log
    5.9 KB · Просмотры: 1
  • CollectionLog-2023.01.21-04.50.zip
    69.3 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteFile('D:\autorun.inf', '');
 DeleteService('Microsoft Framework');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Запустите ещё раз AV block remover уже из нормального режима и после перезагрузки покажите его новый отчёт.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

spaaaceT_T

Новый пользователь
Сообщения
6
Реакции
0
Готово. Так же после второго запуска Avbr защитник шиндовс нашел какой-то майнер.
 

Вложения

  • AV_block_remove_2023.01.21-12.51.log
    4.6 KB · Просмотры: 1
  • 1674295090263.png
    1674295090263.png
    39.2 KB · Просмотры: 2
  • FRST.txt
    25.3 KB · Просмотры: 2
  • Addition.txt
    44.5 KB · Просмотры: 1
Последнее редактирование:

spaaaceT_T

Новый пользователь
Сообщения
6
Реакции
0
Готово. Так же после второго запуска Avbr защитник шиндовс нашел какой-то майнер.
Немножко переделал т.к. понял, что в первый раз перед выполнением скрипта AVZ не закрыл все программы, сейчас все сделал по инструкции и защитник уже ничего не пишет. Прикрепляю обновленные логи.
 

Вложения

  • AV_block_remove_2023.01.21-23.39.log
    5.7 KB · Просмотры: 1
  • FRST.txt
    24.7 KB · Просмотры: 2
  • Addition.txt
    44.5 KB · Просмотры: 2
Последнее редактирование:

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [734]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [734]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [734]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [734]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [734]
    AlternateDataStreams: C:\Users\AYAYA\Application Data:NT [40]
    AlternateDataStreams: C:\Users\AYAYA\Application Data:NT2 [734]
    AlternateDataStreams: C:\Users\AYAYA\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\AYAYA\AppData\Roaming:NT2 [734]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

spaaaceT_T

Новый пользователь
Сообщения
6
Реакции
0
Готово
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Хорошо. Проблема решена?
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Хорошо, значит завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9007 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Audacity 3.1.2 v.3.1.2 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Driver Easy 5.7.0.39448 v.5.7.0.39448 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО
 
Сверху Снизу