Решена Вирус с именем john

Статус
В этой теме нельзя размещать новые ответы.
DImasiks

DImasiks

Новый пользователь
Сообщения
6
Реакции
1
Добрый день, помогите пожалуйста.
Подхватил майнер с пользователем john выполнил скрипт с помощью av block remover, сделал с помощью программы autologger выгрузку логов, прикрепляю ее
 

Вложения

  • CollectionLog-2024.01.08-17.33.zip
    113.5 KB · Просмотры: 1
Здравствуйте!

DImasiks написал(а):
выполнил скрипт с помощью av block remover
Нажмите для раскрытия...
Его отчёт в виде файла AV_block_remove_дата-время.log прикрепите к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепил все три файла
 

Вложения

  • AV_block_remove_2024.01.08-17.21.log
    11 KB · Просмотры: 2
  • Addition.txt
    145 KB · Просмотры: 2
  • FRST.txt
    56.6 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1811328023-1638821550-1931892674-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5268]
FirewallRules: [{7603E38D-B218-4594-B6F0-0C545CBF97C0}] => (Allow) C:\Users\Dmitry\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{BB1EF431-1356-43BB-9AA1-F6B395E38596}] => (Allow) C:\Users\Dmitry\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепляю
 

Вложения

  • Fixlog.txt
    4.4 KB · Просмотры: 1
Ещё один скрипт выполните, пожалуйста:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Проделал
 

Вложения

  • Fixlog.txt
    2.3 KB · Просмотры: 1
Хорошо. Если проблем больше нет, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделал
 

Вложения

  • SecurityCheck.txt
    9.5 KB · Просмотры: 2
Исправьте по возможности:

Microsoft Office Professional Plus 2019 - en-us v.16.0.16731.20460 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.16731.20460 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9008 Внимание! Скачать обновления
Zoom v.5.14.8 (16213) Внимание! Скачать обновления
µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.
Audacity 3.3.3 (Все пользователи) v.3.3.3 Внимание! Скачать обновления
Audacity 2.9.1 v.2.9.1 Внимание! Скачать обновления
K-Lite Codec Pack 17.5.5 Basic v.17.5.5 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО
 
Хорошо, спасибо большое за помощь
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу