Перейти к содержанию

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John


gleb18.2000

Рекомендуемые сообщения

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Ссылка на комментарий
Поделиться на другие сайты

23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

Ссылка на комментарий
Поделиться на другие сайты

Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Ссылка на комментарий
Поделиться на другие сайты

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • baobao
      От baobao
      Столкнулся с пользователем John, удалил его в меню netplwiz(win+r) но при проверке компьютера через Miner Searcher написано #Проверка пользователя John.(вирусы не обнаружены) он у меня уже был и пропал и снова появился только не могу понять как его удалить чтобы даже не упоминалось о нём
      вот лог AVBR И MINER SEARCHER
      AV_block_remove_2024.12.23-22.43.logMinerSearch_23.12.2024_22-49-46.log
    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • Cybermancubus
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
×
×
  • Создать...