Поймал майнер. Не могу установить антивирус.

[Continental]

Добрый день. Поймал майнер с папкой RealtekHD. Кое как удалил невидимую папку и удалил невидимого пользователя Johnа. Но что-то все равно пытается при загрузке запустить майнер и ругается, что нет папки. И не могу установить антивирус Касперского.

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Continental]

 

Прошелся логером и farbarом. Приложил.

 

 

FRST.txtCollectionLog-2023.05.09-20.25.zipAddition.txtShortcut.txt

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\Setup\sch.bat', '');
 QuarantineFile('C:\Users\DJoker\AppData\Roaming\System\svchost.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryHosts');
 DeleteFile('C:\Programdata\Setup\sch.bat', '64');
 DeleteFile('C:\Users\DJoker\AppData\Roaming\System\svchost.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Continental]

Добрый вечерCollectionLog-2023.05.10-21.09.zip, сделал. 

[Continental]

Удалось установить антивирус и вроде нет видимых проявлений вируса. Большое спасибо за помощь!

Продлил подписку =))

[Sandor]

Это хорошо. Но не спешите, сделайте ещё следующее:

 

1.

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Continental]

 

Сделал.

 

Заметил, что нажатие кнопки пуск и поиск не работает большинство времени. Потом в какой-то момент отлипает и начинает работать.

 

Addition.txtFRST.txtClearLNK-2023.05.11_20.51.20.log

Изменено 11 мая, 2023 пользователем Continental

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\DJoker\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Unlock:C:\ProgramData\1234
  Folder:C:\ProgramData\1234
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 _SHDC C:\Users\DJoker\Downloads\AV_block_remover
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 _SHDC C:\Users\DJoker\Downloads\AutoLogger
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 _SHDC C:\Users\DJoker\Desktop\AV_block_remover
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 _SHDC C:\Users\DJoker\Desktop\AutoLogger
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-07 20:34 - 2023-05-07 20:34 - 000000000 __SHD C:\Program Files\HitmanPro
  HKU\S-1-5-21-1140039962-226623463-1190019607-1000\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  Toolbar: HKU\S-1-5-21-1140039962-226623463-1190019607-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  Toolbar: HKU\S-1-5-21-1140039962-226623463-1190019607-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Continental]

Fixlog.txt

 

Кнопки Пуск, поиск, сеть и настройка звука не срабатывают при нажатии.

[Sandor]

В безопасном режиме тоже не работают?

[Continental]

В безопасном режиме работает всегда. В Обычном режиме нажимаются очень редко, как буд-то он думает при нажатии очень долго (несколько минут).

 

Похоже майнер не удален. Компьютер зависает (не только кнопки пуск и поиск) и отвисает когда открываю диспетчер задач и успеваю заметить  какой-то процес загруженный закончился.

После запуска диспетчера кнопки пуск и т.д. начинают работать в обычном режиме.

Изменено 13 мая, 2023 пользователем Continental

[Sandor]

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

[Continental]

Сделал как написано. Остался включенным только касперский, он  не выключается там. Похоже в нем дело. Нашел какую-то программу и не смог ее удалить. Может в ней дело?

 

[Sandor]

Удалите её принудительно через Geek Uninstaller