Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Не удаляется майнер John

Kikita

Автор Kikita
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Kikita Новичок

Kikita

Опубликовано
Опубликовано

Здравствуйте, заметил что начались сильные фризы в играх, начал проверять в диспетчере задач что может нагружать систему, при запуске диспетчера, ничего нет, но заметил если смотреть через прогу АМД где показывается загрузка ЦП, при выключенном диспетчере загрузка цп 66-77%, с включенным 6-10%.
Проверил на доктор веб, он ничего не нашел.
Затем скачал AVBR, но майнер не давал его запустить, перевел систему в безопасный режим с поддержкой сетевых драйверов и скачал AVBR на флешку, переименовал в "memmm" и от туда запустил от имени администратора.
Он нашел скрытого пользователя джон, удалил. 
Затем он исправил Хост и перезагрузил комп.
Но система все так же нагружается, несколько раз запускал AVBR и каждый раз удаляет хост, но ничего не помогает.
Даже делал полное сканирование этой программой которое заняло 3 часа, но написало что не обнаружено вредоносных программ, майнер все так же нагружает ЦП.
Логи прикрепляю.

CollectionLog-2023.08.04-08.23.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\SysFilesF\RecoveryHosts - C:\Programdata\Microsoft\dpakp\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\1Hor - C:\Programdata\Microsoft\dpakp\Game.exe -ppidar (file missing)

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Kikita Новичок

Kikita

Опубликовано
  • Автор
Опубликовано

Пофиксил в хайджеке все что было сказано ( решились с ошибкой и кнопкой "ок")
Перезагрузил, попробовал еще раз посмотреть, больше этих пунктов не было, видимо пофиксились.
Защита от подделки не дает себя переключить
image.thumb.png.e9ae2892cd387549d36b46610ac902af.png

Отчеты от Фарбара прикрепил

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKU\S-1-5-21-3891693737-3059105726-96016339-1001\...\Run: [MicrosoftEdgeAutoLaunch_BC736C650C0CAFFFBF77AA5340197734] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3891693737-3059105726-96016339-1006\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3891693737-3059105726-96016339-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
Virustotal: C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe
U4 SAVService; отсутствует ImagePath
U4 Sophos MCS Agent; отсутствует ImagePath
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec.cloud
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2023_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2022_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2021_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 ____D C:\Program Files\Fortinet
2023-07-27 20:12 - 2023-07-27 20:13 - 000000000 ___HD C:\Users\John
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [287]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [287]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [287]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [287]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT [40]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT2 [287]
FirewallRules: [{1A8F7F9C-E341-442E-B9E1-CC5CEDBB7E70}] => (Block) LPort=135
FirewallRules: [{80286B08-0388-468F-B07C-78CF291C1116}] => (Block) LPort=445
FirewallRules: [{33499805-D2E4-4822-9194-0685F96038C4}] => (Block) LPort=5655
FirewallRules: [{74906538-E23A-4448-91FB-5EBDD3BA6521}] => (Block) LPort=135
FirewallRules: [{BE4F9698-A4C4-4555-BD73-18A0F4D2918D}] => (Block) LPort=445
FirewallRules: [{2A67A16A-E9E5-4A6C-BD27-F13FCEE7EB13}] => (Block) LPort=135
FirewallRules: [{132DBFE7-D8AB-4C21-A000-CA33D47EABD1}] => (Block) LPort=137
FirewallRules: [{F53C62CA-CC5A-4244-B973-D27B9CDEA3DC}] => (Block) LPort=138
FirewallRules: [{5716ED32-992D-4F02-805B-A9151083EC3D}] => (Block) LPort=139
FirewallRules: [{F3F038DF-F1C8-42F6-99DE-4F183518FF78}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{B6CBB6CE-F213-4849-9F16-CDA2B85C769E}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{E071CD78-34AD-475E-9C5F-540E7A11C4E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{D4B6E0F4-D65A-4A4A-8570-69341E76FA0A}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{0E399745-5842-49D3-9AB9-E4F61DB6F50B}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{0A9DB314-C18A-4A51-9A31-57841DAEAB79}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{2BC88B84-1F21-4EDC-BCFF-196A1036D0E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{12825A28-D282-4E71-B4CB-FFE13C741B19}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В диспетчере устройств много не установленных драйвером. Скачайте и доустановите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
50 минут назад, Kikita сказал:

Защита от подделки не дает себя переключить

Пробуйте сейчас.

 

Пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S2 NETDataSqlServer; C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\sqldb.exe [X]
S2 rwscyustv; C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe [X]
S2 sqldatabaseserv; C:\Windows\Inf\Netframeworksqldataservice\Framework4\vps.exe [X]
S2 SQLServiceFWSM; C:\Windows\Inf\NetframeworkServicesdrv\Famework\vds.exe [X]
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте этот архив.

Распакуйте. Запустите один reg файл, согласитесь с внесением изменений в реестр и перезагрузите систему.

Повторите то же со вторым reg файлом.

После второй перезагрузки соберите очередной лог FSS.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • faze21
      Майнер не удаляется после переустановки Windows
      Автор faze21
      Майнер не удаляется после переустановки Винды, антивирусы такие как Dr.Web и Malwarebytes не помогают. Вчера еще было все нормально, но сегодня начала греться очень сильно видеокарта + процессор, когда начал разворачиваться в игру. А на рабочем столе показатели снижаются в этой же игры: вчера ГП был на 30 процентов, в данный момент уже 95 процентов. Помогите, пожалуйста, потому что вчера еще украли данные с компьютера, но я уже восстановил их.
      показатели через Geforce Experience.

      Кто поможет отблагодарю в символическом денюжном плане.
    • aph1nn
      Не удаляется майнер
      Автор aph1nn
      Есть майнер, при запуске начинает сильно гудеть пк, а когда включаю диспетчер задач, он выключается и показатели видеокарты приходят в норму. Касперский не может удалить его с перезагрузкой или без. Название SppExtFileObj.exe, что делать?
    • baobao
      [РЕШЕНО] Пользователь John, майнер?
      Автор baobao
      Столкнулся с пользователем John, удалил его в меню netplwiz(win+r) но при проверке компьютера через Miner Searcher написано #Проверка пользователя John.(вирусы не обнаружены) он у меня уже был и пропал и снова появился только не могу понять как его удалить чтобы даже не упоминалось о нём
      вот лог AVBR И MINER SEARCHER
      AV_block_remove_2024.12.23-22.43.logMinerSearch_23.12.2024_22-49-46.log
    • Onimusha
      Не удаляется NET:MALWARE.UR
      Автор Onimusha
      Приветствую,вирус не удалялся  некак,пробовал несколько раз.Грузил процессор,медленно отключал компютер https://disk.yandex.ru/d/Cs1hFO9jtEttSA https://disk.yandex.ru/d/GlrM6YcJ3wuo1g 
      Сделал как советовал консультатн под ником Sandor вот тут 
       
    • Adozel
      [РЕШЕНО] Майнер или вирус не удаляется
      Автор Adozel
      Около недели начала замечать, как лагает пк. Иногда сразу после загрузки, иногда спустя время. Чаще на некоторых программах (Хром, пакеты Адоб, даже если только-только запустила) при этом раннее такого не было. Может нагружать и цп и память и диск. Доходит до того, что при запуске видео на сайте или в плеере самого виндовс появляются жёсткие помехи. Dr.Web CureIt постоянно находит файл CHROMIUM:PAGE.MALWARE.URL, который не удаляется, не лечится. Ничего не выходит.
      CollectionLog-2025.01.16-00.33.zip
×
×
  • Создать...