Перейти к содержанию
Правила раздела
Задай вопрос Александру Ильину!

[РЕШЕНО] Поймал майнер John через активатор kms

zivix

Автор zivix,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

zivix

zivix 0

Опубликовано
Опубликовано

AV_block_remove_2023.07.12-00.31.logДоброго времени суток! Схлопотал майнер пока активировал пакет офис, сразу заметил неладное CPU поднялся до 85-99% и мельком в пользователях увидел лишний ник John. В безопасном режиме запускал AVbr и AutoLogger прикрепляю логи. 

CollectionLog-2023.07.12-00.24.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Соберите новый CollectionLog Автологером в обычном режиме загрузки.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk - этот ярлык в Панели быстрого запуска Вам известен?

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [OneDrive] => ;"C:\Users\������\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (Нет файла)
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [Microsoft Edge Update] => ;"C:\Users\������\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\MicrosoftEdgeUpdateCore.exe" (Нет файла)
2023-07-10 19:36 - 2023-07-10 19:36 - 000000000 __SHD C:\ProgramData\princeton-produce
CustomCLSID: HKU\S-1-5-21-1977444488-1973323282-2959496633-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Реналь\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
FirewallRules: [{B06C2F92-4180-4D82-93EA-BE6E5E200646}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{912644D8-4A3B-45E8-BC82-E2A5B0D0CE4F}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{24DF59CD-996B-433C-9F4A-097DE9F81BC9}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{2FEEFD5B-8F4C-41EA-A81D-71A19CFBA366}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [{E3FD256F-AB88-4432-93A6-8D33765202DA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8DB84B4A-A004-4F9C-80AD-3E3AAC06BCAF}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B25CAA20-B8E9-42FA-A9CB-F8C38D954BD5}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла
FirewallRules: [{94F3C808-48A2-4694-BC67-13F0C8888ADA}] => (Allow) C:\Users\Реналь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{84A7AF39-7EAD-4AE5-AA0A-941C0FB52170}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\99.0.4788.88\opera.exe => Нет файла
FirewallRules: [{E72D1355-A51A-4EA0-A71A-94FD953B3347}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{8FBFAA1A-8827-4B7B-B221-7152987E101D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{A1F4EEE8-B6D4-431D-9CA0-5CF5C5CFF3C9}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{3B5DD1F1-1839-4760-B375-AB4487EFD0D7}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{A329ED5B-7C02-4706-A49A-3386564EFD3A}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{EDFD8EB5-2C27-4CC8-8E1B-A815659B3D69}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{8465E2C5-E2EC-49DE-AE9A-78A291D11EDC}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{1FD8D18B-C8C7-4BAC-B093-B9575519A97D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------


AMD Software v.22.20.02 Внимание! Скачать обновления
Foxit Reader v.9.7.0.29455 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^

по возможности исправьте указанное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • extaa
      [РЕШЕНО] Не удаляется майнер Realtek HD(или по другому John)
      От extaa
      Сидел часа 4 пытался его убрать,в безопасном режиме сканил доктор вебом курейт и адв клинером,вроде что то удалили но майнер остался,на сайты антивирусов не дает заходить,антивирусы не запускаются
      После попробовал программу AVBR,все тоже самое кроме одного но,антивирусы вроде разблокировались но все ровно не запускаются. Хочу добавить что если я при запуске виндовс успею закрыть командную строку которая появляется на долю секунды,все нормально,майнера нет,но антивирусы по прежнему не стартуют. Помогите пожалуйста!
    • Shelpy
      Удаляю майнер с помощью AVbr, но при перезагрузке он снова возникает
      От Shelpy
      Обнаружил на ПК вирус, когда заметил, что он заметно тормозит и пытался удалить с помощью AVbr. Программа обнаружила пользователя John и удалила, так же обнаружила майнер, но удалить не получилось, так как при перезагрузке он снова появляется. Другие антивирусы (malwarebytes, cureit, Hitman pro, KVRT) майнера не видят. Помогите пожалуйста
       
      CollectionLog-2023.08.03-19.55.zip
    • alexthunder2011
      [РЕШЕНО] Майнер блокирует avbr
      От alexthunder2011
      Здравствуйте. Подцепил подлючий майнер, который никак не хочет удаляться. Своими силами смог снизить нагрузку на ЦП и могу теперь заходить на сайт Касперского, но полностью избавиться от него не получается. ABvr смог тоже запустить, но при каждом сканировании майнер появляется. Помогите, пожалуйста. прилагаю результаты сканирования FRST. Заранее спасибо. 
       
       
      Addition.txt FRST.txt
      Malwarebytes Anti-Malware, например, устанавливается, но папки с ним нет. 
    • Sosiska
      Вирус майнер John, не даёт зайти в хост и изменять его, так же блокирует скачивание антивирусов и открывание страниц с ними
      От Sosiska
      Скачивал утилиту AV_block_remover, пытался запустит сканирование с помощью неё, но ничего не получается просто вырубает. Так же в играх где-то через 10-30 минут(всегда по разному) начинается жёсткая просадка ФПС
×
×
  • Создать...