Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

Не удаляется майнер John

Kikita

От Kikita
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Kikita Новичок

Kikita

Опубликовано
Опубликовано

Здравствуйте, заметил что начались сильные фризы в играх, начал проверять в диспетчере задач что может нагружать систему, при запуске диспетчера, ничего нет, но заметил если смотреть через прогу АМД где показывается загрузка ЦП, при выключенном диспетчере загрузка цп 66-77%, с включенным 6-10%.
Проверил на доктор веб, он ничего не нашел.
Затем скачал AVBR, но майнер не давал его запустить, перевел систему в безопасный режим с поддержкой сетевых драйверов и скачал AVBR на флешку, переименовал в "memmm" и от туда запустил от имени администратора.
Он нашел скрытого пользователя джон, удалил. 
Затем он исправил Хост и перезагрузил комп.
Но система все так же нагружается, несколько раз запускал AVBR и каждый раз удаляет хост, но ничего не помогает.
Даже делал полное сканирование этой программой которое заняло 3 часа, но написало что не обнаружено вредоносных программ, майнер все так же нагружает ЦП.
Логи прикрепляю.

CollectionLog-2023.08.04-08.23.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\SysFilesF\RecoveryHosts - C:\Programdata\Microsoft\dpakp\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\1Hor - C:\Programdata\Microsoft\dpakp\Game.exe -ppidar (file missing)

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Kikita Новичок

Kikita

Опубликовано
  • Автор
Опубликовано

Пофиксил в хайджеке все что было сказано ( решились с ошибкой и кнопкой "ок")
Перезагрузил, попробовал еще раз посмотреть, больше этих пунктов не было, видимо пофиксились.
Защита от подделки не дает себя переключить
image.thumb.png.e9ae2892cd387549d36b46610ac902af.png

Отчеты от Фарбара прикрепил

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKU\S-1-5-21-3891693737-3059105726-96016339-1001\...\Run: [MicrosoftEdgeAutoLaunch_BC736C650C0CAFFFBF77AA5340197734] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3891693737-3059105726-96016339-1006\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3891693737-3059105726-96016339-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
Virustotal: C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe
U4 SAVService; отсутствует ImagePath
U4 Sophos MCS Agent; отсутствует ImagePath
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec.cloud
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2023_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2022_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2021_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 ____D C:\Program Files\Fortinet
2023-07-27 20:12 - 2023-07-27 20:13 - 000000000 ___HD C:\Users\John
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [287]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [287]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [287]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [287]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT [40]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT2 [287]
FirewallRules: [{1A8F7F9C-E341-442E-B9E1-CC5CEDBB7E70}] => (Block) LPort=135
FirewallRules: [{80286B08-0388-468F-B07C-78CF291C1116}] => (Block) LPort=445
FirewallRules: [{33499805-D2E4-4822-9194-0685F96038C4}] => (Block) LPort=5655
FirewallRules: [{74906538-E23A-4448-91FB-5EBDD3BA6521}] => (Block) LPort=135
FirewallRules: [{BE4F9698-A4C4-4555-BD73-18A0F4D2918D}] => (Block) LPort=445
FirewallRules: [{2A67A16A-E9E5-4A6C-BD27-F13FCEE7EB13}] => (Block) LPort=135
FirewallRules: [{132DBFE7-D8AB-4C21-A000-CA33D47EABD1}] => (Block) LPort=137
FirewallRules: [{F53C62CA-CC5A-4244-B973-D27B9CDEA3DC}] => (Block) LPort=138
FirewallRules: [{5716ED32-992D-4F02-805B-A9151083EC3D}] => (Block) LPort=139
FirewallRules: [{F3F038DF-F1C8-42F6-99DE-4F183518FF78}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{B6CBB6CE-F213-4849-9F16-CDA2B85C769E}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{E071CD78-34AD-475E-9C5F-540E7A11C4E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{D4B6E0F4-D65A-4A4A-8570-69341E76FA0A}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{0E399745-5842-49D3-9AB9-E4F61DB6F50B}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{0A9DB314-C18A-4A51-9A31-57841DAEAB79}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{2BC88B84-1F21-4EDC-BCFF-196A1036D0E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{12825A28-D282-4E71-B4CB-FFE13C741B19}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В диспетчере устройств много не установленных драйвером. Скачайте и доустановите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
50 минут назад, Kikita сказал:

Защита от подделки не дает себя переключить

Пробуйте сейчас.

 

Пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S2 NETDataSqlServer; C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\sqldb.exe [X]
S2 rwscyustv; C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe [X]
S2 sqldatabaseserv; C:\Windows\Inf\Netframeworksqldataservice\Framework4\vps.exe [X]
S2 SQLServiceFWSM; C:\Windows\Inf\NetframeworkServicesdrv\Famework\vds.exe [X]
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте этот архив.

Распакуйте. Запустите один reg файл, согласитесь с внесением изменений в реестр и перезагрузите систему.

Повторите то же со вторым reg файлом.

После второй перезагрузки соберите очередной лог FSS.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • slimy371
      Вирус (майнер) John
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • thealebs
      [РЕШЕНО] Майнер John
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ast_v
      [РЕШЕНО] Майнер John
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • ANHIEL
      [РЕШЕНО] Не удаляется майнер
      От ANHIEL
      словил майнер сам восстанавливается после перезагрузки 
       
×
×
  • Создать...