Перейти к содержанию

[РЕШЕНО] Поймал майнер John через активатор kms


Рекомендуемые сообщения

AV_block_remove_2023.07.12-00.31.logДоброго времени суток! Схлопотал майнер пока активировал пакет офис, сразу заметил неладное CPU поднялся до 85-99% и мельком в пользователях увидел лишний ник John. В безопасном режиме запускал AVbr и AutoLogger прикрепляю логи. 

CollectionLog-2023.07.12-00.24.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk - этот ярлык в Панели быстрого запуска Вам известен?

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [OneDrive] => ;"C:\Users\������\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (Нет файла)
HKU\S-1-5-21-1977444488-1973323282-2959496633-1001\...\Run: [Microsoft Edge Update] => ;"C:\Users\������\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\MicrosoftEdgeUpdateCore.exe" (Нет файла)
2023-07-10 19:36 - 2023-07-10 19:36 - 000000000 __SHD C:\ProgramData\princeton-produce
CustomCLSID: HKU\S-1-5-21-1977444488-1973323282-2959496633-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Реналь\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
FirewallRules: [{B06C2F92-4180-4D82-93EA-BE6E5E200646}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{912644D8-4A3B-45E8-BC82-E2A5B0D0CE4F}] => (Allow) C:\Users\Реналь\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{24DF59CD-996B-433C-9F4A-097DE9F81BC9}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{2FEEFD5B-8F4C-41EA-A81D-71A19CFBA366}C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\реналь\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [{E3FD256F-AB88-4432-93A6-8D33765202DA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8DB84B4A-A004-4F9C-80AD-3E3AAC06BCAF}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B25CAA20-B8E9-42FA-A9CB-F8C38D954BD5}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла
FirewallRules: [{94F3C808-48A2-4694-BC67-13F0C8888ADA}] => (Allow) C:\Users\Реналь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{84A7AF39-7EAD-4AE5-AA0A-941C0FB52170}] => (Allow) C:\Users\Реналь\AppData\Local\Programs\Opera\99.0.4788.88\opera.exe => Нет файла
FirewallRules: [{E72D1355-A51A-4EA0-A71A-94FD953B3347}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{8FBFAA1A-8827-4B7B-B221-7152987E101D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{A1F4EEE8-B6D4-431D-9CA0-5CF5C5CFF3C9}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{3B5DD1F1-1839-4760-B375-AB4487EFD0D7}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{A329ED5B-7C02-4706-A49A-3386564EFD3A}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{EDFD8EB5-2C27-4CC8-8E1B-A815659B3D69}] => (Allow) D:\Downloadss\Battle.net-Setup.exe => Нет файла
FirewallRules: [{8465E2C5-E2EC-49DE-AE9A-78A291D11EDC}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
FirewallRules: [{1FD8D18B-C8C7-4BAC-B093-B9575519A97D}] => (Allow) C:\Program Files\OEM\Control Center\UniwillService\GCUBridge.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
C:\Users\Реналь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


AMD Software v.22.20.02 Внимание! Скачать обновления
Foxit Reader v.9.7.0.29455 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Cybermancubus
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • ast_v
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vasilvasilych
      От vasilvasilych
      Добрый день, уважаемые специалисты.
      Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.
      Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.
      Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.
      При этом kvrt запустился.
      Прошу помочь при возможности.
      Логи autologger прикладываю.
      CollectionLog-2024.08.18-18.51.zip
×
×
  • Создать...