[РЕШЕНО] Возможно последствия от майнера

[Maximka_09]

Вот такая ошибка, всё перепробовал, случилось после того как словил майнер, я его удалил, но у меня теперь есть подозрения на то что виндовс не может достучаться до некоторых файлов
Команды такого типа: DISM.exe /Online /Cleanup-image /Restorehealth Я уже пробовал, оно восстанавливает но sfc выдаёт всё ту же ошибку.
Так же частично работает центр обновления виндовс, тоесть скачивает обновления перезапускаю комп, идёт установка и на 50%+- пишет в статус очистка, после этого захожу в центр обновления и обновления качает заново.



Ещё появилась надпись что управляет организация, но на компе только один пользователь.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Maximka_09]

1 час назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

CollectionLog-2023.05.03-20.41.zip впринципе я всё описал до этого, вот лог с той програмки

[Sandor]

Здравствуйте!

 

Следы майнера всё ещё видны. Будем чистить.

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Maximka_09]

29 минут назад, Sandor сказал:

Здравствуйте!

 

Следы майнера всё ещё видны. Будем чистить.

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Я из Укр, поэтому некоторые сайты в логе недоступны

AV_block_remove_2023.05.04-11.15.log CollectionLog-2023.05.04-11.22.zip

[Sandor]

Для ответа используйте, пожалуйста, нижнее поле, вместо полного цитирования предыдущего сообщения. Это затрудняет чтение темы.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Maximka_09]

Addition.txtFRST.txt

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-03-31] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [209]
  AlternateDataStreams: C:\Windows\system32\.crusader:A00C7B7425 [3442]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [209]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [209]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [209]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [209]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4ebur.net.lnk:575FF28B9B [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2022.lnk:C56174E6CE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 Russian.lnk:E277E4233F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Registry Repair.lnk:ECE9A2C688 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\spacedesk DRIVER Console.lnk:59312B2D30 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio 2016.lnk:EB926A4294 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wallpaper64.lnk:D7E9C2C1FA [3442]
  AlternateDataStreams: C:\Users\Maximys\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Maximys\AppData\Roaming:NT2 [209]
  AlternateDataStreams: C:\Users\Maximys\AppData\Local\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2794]
  StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнение скрипта может занять длительное время (до получаса), дождитесь завершения.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Maximka_09]

Fixlog.txt

[Sandor]

Изменения к лучшему есть?

[Maximka_09]

Да, убралась надпись что управляет организация. И вроде как центр обновления виндовс теперь работает нормально

[Sandor]

Хорошо, тогда в завершение и на будущее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Maximka_09]

Но sfc всёравно ругается

[Sandor]

С этим обратитесь в соседний раздел со ссылкой на эту тему.

[Maximka_09]

SecurityCheck.txt