Не удаляется майнер John

[Kikita]

Здравствуйте, заметил что начались сильные фризы в играх, начал проверять в диспетчере задач что может нагружать систему, при запуске диспетчера, ничего нет, но заметил если смотреть через прогу АМД где показывается загрузка ЦП, при выключенном диспетчере загрузка цп 66-77%, с включенным 6-10%.
Проверил на доктор веб, он ничего не нашел.
Затем скачал AVBR, но майнер не давал его запустить, перевел систему в безопасный режим с поддержкой сетевых драйверов и скачал AVBR на флешку, переименовал в "memmm" и от туда запустил от имени администратора.
Он нашел скрытого пользователя джон, удалил. 
Затем он исправил Хост и перезагрузил комп.
Но система все так же нагружается, несколько раз запускал AVBR и каждый раз удаляет хост, но ничего не помогает.
Даже делал полное сканирование этой программой которое заняло 3 часа, но написало что не обнаружено вредоносных программ, майнер все так же нагружает ЦП.
Логи прикрепляю.

CollectionLog-2023.08.04-08.23.zip

[Kikita]

Вот что пишет блок ремувер

AV_block_remove_2023.08.04-07.35.log

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\SysFilesF\RecoveryHosts - C:\Programdata\Microsoft\dpakp\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\1Hor - C:\Programdata\Microsoft\dpakp\Game.exe -ppidar (file missing)

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено 4 августа, 2023 пользователем Sandor

[Kikita]

Пофиксил в хайджеке все что было сказано ( решились с ошибкой и кнопкой "ок")
Перезагрузил, попробовал еще раз посмотреть, больше этих пунктов не было, видимо пофиксились.
Защита от подделки не дает себя переключить


Отчеты от Фарбара прикрепил

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKU\S-1-5-21-3891693737-3059105726-96016339-1001\...\Run: [MicrosoftEdgeAutoLaunch_BC736C650C0CAFFFBF77AA5340197734] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-21-3891693737-3059105726-96016339-1006\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3891693737-3059105726-96016339-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  Virustotal: C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe
  U4 SAVService; отсутствует ImagePath
  U4 Sophos MCS Agent; отсутствует ImagePath
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Telmex
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec.cloud
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Sophos
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Webroot
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Trend Micro
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Telmex
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Symantec
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Sophos
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Seqrite
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\SentinelOne
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Quick Heal
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\NANO Antivirus
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee Security Scan
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\K7 Computing
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Immunet
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\F-Secure
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\eScan
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\CheckPoint
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\BitDefender
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Avira
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Webroot
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Telmex
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Symantec
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Sophos
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Seqrite
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Immunet
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\F-Secure
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\eScan
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\BitDefender
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Avira
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2023_Data
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2022_Data
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2021_Data
  2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 ____D C:\Program Files\Fortinet
  2023-07-27 20:12 - 2023-07-27 20:13 - 000000000 ___HD C:\Users\John
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [287]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [287]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [287]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [287]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [287]
  AlternateDataStreams: C:\Users\Кекита\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Кекита\Application Data:NT2 [287]
  AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT2 [287]
  FirewallRules: [{1A8F7F9C-E341-442E-B9E1-CC5CEDBB7E70}] => (Block) LPort=135
  FirewallRules: [{80286B08-0388-468F-B07C-78CF291C1116}] => (Block) LPort=445
  FirewallRules: [{33499805-D2E4-4822-9194-0685F96038C4}] => (Block) LPort=5655
  FirewallRules: [{74906538-E23A-4448-91FB-5EBDD3BA6521}] => (Block) LPort=135
  FirewallRules: [{BE4F9698-A4C4-4555-BD73-18A0F4D2918D}] => (Block) LPort=445
  FirewallRules: [{2A67A16A-E9E5-4A6C-BD27-F13FCEE7EB13}] => (Block) LPort=135
  FirewallRules: [{132DBFE7-D8AB-4C21-A000-CA33D47EABD1}] => (Block) LPort=137
  FirewallRules: [{F53C62CA-CC5A-4244-B973-D27B9CDEA3DC}] => (Block) LPort=138
  FirewallRules: [{5716ED32-992D-4F02-805B-A9151083EC3D}] => (Block) LPort=139
  FirewallRules: [{F3F038DF-F1C8-42F6-99DE-4F183518FF78}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
  FirewallRules: [{B6CBB6CE-F213-4849-9F16-CDA2B85C769E}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
  FirewallRules: [{E071CD78-34AD-475E-9C5F-540E7A11C4E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
  FirewallRules: [{D4B6E0F4-D65A-4A4A-8570-69341E76FA0A}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
  FirewallRules: [{0E399745-5842-49D3-9AB9-E4F61DB6F50B}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
  FirewallRules: [{0A9DB314-C18A-4A51-9A31-57841DAEAB79}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
  FirewallRules: [{2BC88B84-1F21-4EDC-BCFF-196A1036D0E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
  FirewallRules: [{12825A28-D282-4E71-B4CB-FFE13C741B19}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В диспетчере устройств много не установленных драйвером. Скачайте и доустановите.

[Kikita]

Сделал! лог прикрепляю

Fixlog.txt

[Sandor]

50 минут назад, Kikita сказал:

Защита от подделки не дает себя переключить

Пробуйте сейчас.

 

Пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

[Kikita]

Не удается включить защиту

Логи прикрепляю 

FRST.txt Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S2 NETDataSqlServer; C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\sqldb.exe [X]
  S2 rwscyustv; C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe [X]
  S2 sqldatabaseserv; C:\Windows\Inf\Netframeworksqldataservice\Framework4\vps.exe [X]
  S2 SQLServiceFWSM; C:\Windows\Inf\NetframeworkServicesdrv\Famework\vds.exe [X]
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Kikita]

Fixlog.txt FSS.txt

Изменено 4 августа, 2023 пользователем Kikita

[Sandor]

FSS запускали в безопасном режиме? Переделайте в нормальном, пожалуйста.

[Kikita]

Да, в безопасном, сейчас переделаю!

 

[Kikita]

FSS.txt

[Sandor]

Скачайте этот архив.

Распакуйте. Запустите один reg файл, согласитесь с внесением изменений в реестр и перезагрузите систему.

Повторите то же со вторым reg файлом.

После второй перезагрузки соберите очередной лог FSS.txt

[Kikita]

SDRSVC не удается импортировать
wscsvc удается