Перейти к содержанию

[РЕШЕНО] Поймал майнер John через активатор kms


Рекомендуемые сообщения

AV_block_remove_2023.07.12-00.31.logДоброго времени суток! Схлопотал майнер пока активировал пакет офис, сразу заметил неладное CPU поднялся до 85-99% и мельком в пользователях увидел лишний ник John. В безопасном режиме запускал AVbr и AutoLogger прикрепляю логи. 

CollectionLog-2023.07.12-00.24.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk - этот ярлык в Панели быстрого запуска Вам известен?

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [OneDrive] => ;"C:\Users\������\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (Нет файла)
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [Microsoft Edge Update] => ;"C:\Users\������\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\MicrosoftEdgeUpdateCore.exe" (Нет файла)
2023-07-10 19:36 - 2023-07-10 19:36 - 000000000 __SHD C:\ProgramData\princeton-produce
CustomCLSID: HKU\S-1-5-21-1977444488-1973323282-2959496633-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Реналь\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
FirewallRules: [{B06C2F92-4180-4D82-93EA-BE6E5E200646}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{912644D8-4A3B-45E8-BC82-E2A5B0D0CE4F}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{24DF59CD-996B-433C-9F4A-097DE9F81BC9}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{2FEEFD5B-8F4C-41EA-A81D-71A19CFBA366}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [{E3FD256F-AB88-4432-93A6-8D33765202DA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8DB84B4A-A004-4F9C-80AD-3E3AAC06BCAF}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B25CAA20-B8E9-42FA-A9CB-F8C38D954BD5}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла
FirewallRules: [{94F3C808-48A2-4694-BC67-13F0C8888ADA}] => (Allow) C:\Users\Реналь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{84A7AF39-7EAD-4AE5-AA0A-941C0FB52170}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\99.0.4788.88\opera.exe => Нет файла
FirewallRules: [{E72D1355-A51A-4EA0-A71A-94FD953B3347}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{8FBFAA1A-8827-4B7B-B221-7152987E101D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{A1F4EEE8-B6D4-431D-9CA0-5CF5C5CFF3C9}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{3B5DD1F1-1839-4760-B375-AB4487EFD0D7}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{A329ED5B-7C02-4706-A49A-3386564EFD3A}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{EDFD8EB5-2C27-4CC8-8E1B-A815659B3D69}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{8465E2C5-E2EC-49DE-AE9A-78A291D11EDC}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{1FD8D18B-C8C7-4BAC-B093-B9575519A97D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


AMD Software v.22.20.02 Внимание! Скачать обновления
Foxit Reader v.9.7.0.29455 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^

по возможности исправьте указанное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • wwworm
      От wwworm
      Cureit  несколько раз запускал на протяжении недели  находит2-5 вирусов удаляет, но проблему не решает система охлаждения ноута работает всегда на максимум, скачал Касперский интернет секьюр ити блокировал установку до сбора логов, Сбор логов проводил 2 раза 1 раз -в ходе скрипта AVbr была выявлена учетная запись John  и папка с логами quarantine.zip  весит 183 МБ в связи с чем не смог сюда прикрепить и  в связи с чем проводил 2-ой сбор логов  рекомендованной программой AutoLogger.exe чьи логи я и прикрепляю в сообщении
      CollectionLog-2024.03.04-22.15.zip дополняю, нашел лог первого скана прилагаю во вложении 
      AV_block_remove_2024.03.04-21.47.log
    • conrad
      От conrad
      Здравствуйте! После удаления майнера не устанавливается антивирус(Kaspersky free, dr web space). 
      в теме: https://forum.kasperskyclub.ru/topic/439825-virus-majner-polzovatel-john/
      пытались устранить эту проблему, после направили сюда.
       
       
    • conrad
      От conrad
      Здравствуйте! Пару недель назад словил майнер. Пытался удалить сам, большинство проблем устранил, однако остались подозрения и паранойя, что еще "остатки" от этой проблемы где-то лежат в системе (не устанавливаются обычные антивирусы по типу dr web space и бесплатная версия касперского). Поэтому прошу о помощи. И еще вопрос, могут ли подобные вирусы заражать usb-носители?
      Ниже прикреплены логи, как по методичке. 
      CollectionLog-2024.01.20-14.04.zip
    • Shinnyxx
      От Shinnyxx
      авз закрывается при открытии
      при попытке нагуглить хоть что-то связанное с удалением майнеров, абсолютно любой браузер закрывается, так же появился скрытый пользователь john, др веб ничего не нашел, касперского не могу установить(сам файл скачался, но не может установиться)
      Через ноут скачал av blocker, перекинул на основную машину, но и он не запускается(операция отмененна из-за ограничений). Пробовал переименовать файл, но после запуска программа закрывается автоматически(примерно 5 секунд), где то находится самораспаковывающийся архив
×
×
  • Создать...