Перейти к содержанию

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John


Рекомендуемые сообщения

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Ссылка на сообщение
Поделиться на другие сайты

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Asterix
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • KonstantinD
      От KonstantinD
      Все привет , подскажите пожалуста в ноуте сидит майнер процесор грущит 100% . что делать ? сам справится не могу
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...