[РЕШЕНО] Вирус

[Vendetta-com 0]

Решил сделать удаленный рабочий стол, включил его в windows, прокинул порты, проверил все ок, перевел ПК в спящий режим. Спустя минут 5 заметил, что к ПК подключился пользователь John, попробовал разблокировать ПК, получил отказ, сразу перезагрузил ПК. Далее я отключил удаленный рабочий стол, проверил через Dr.Web CureIt (0 угроз), поменял пароль пользователю john и выключил его. Windows Defender перестал работать (все галочки статичны, не переключаются), нагрузки на ПК не обнаружил.CollectionLog-2023.05.08-01.24.zip

[thyrex 1 377]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Vendetta-com 0]

+

Addition-FRST.zip

[thyrex 1 377]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы удалите старые логи Farbar и соберите новые.
 

 

[Vendetta-com 0]

+

AV_block_remove_2023.05.08-02.27.log FRST-new.zip

[thyrex 1 377]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1405960982-2339696558-1268869203-1001\...\Policies\Explorer: [DisallowRun] 1
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Microsoft Framework => ""="Microsoft Framework"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Vendetta-com 0]

+

Fixlog.txt

[thyrex 1 377]

Проблема решена?

[Vendetta-com 0]

На сколько я понимаю да, defender работает, так же касперский стал запускаться, пользователя john удалило. Остался пользователь John.Vendetta-com, его просто удалить? И ещё один вопрос, можете подсказать, если это был обычный майнер, для чего к моему ПК было подключение через удаленку?

[thyrex 1 377]

Неизвестного пользователя удалите. На вопрос для чего было подключение через удаленку ответить затрудняюсь. Возможно это какая-то опция у майнера.

[Vendetta-com 0]

Благодарю, на этом все?

[thyrex 1 377]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Vendetta-com 0]

+

 

SecurityCheck.txt

[thyrex 1 377]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Malwarebytes version 4.5.26.259 v.4.5.26.259 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.39.2 Внимание! Скачать обновления
VMware Workstation v.17.0.0 Внимание! Скачать обновления
FileZilla 3.63.2 v.3.63.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим

[Vendetta-com 0]

+
спасибо