Перейти к содержанию
Правила раздела

Не удаляется майнер John

Kikita

Автор Kikita,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Kikita

Kikita 0

Опубликовано
Опубликовано

Здравствуйте, заметил что начались сильные фризы в играх, начал проверять в диспетчере задач что может нагружать систему, при запуске диспетчера, ничего нет, но заметил если смотреть через прогу АМД где показывается загрузка ЦП, при выключенном диспетчере загрузка цп 66-77%, с включенным 6-10%.
Проверил на доктор веб, он ничего не нашел.
Затем скачал AVBR, но майнер не давал его запустить, перевел систему в безопасный режим с поддержкой сетевых драйверов и скачал AVBR на флешку, переименовал в "memmm" и от туда запустил от имени администратора.
Он нашел скрытого пользователя джон, удалил. 
Затем он исправил Хост и перезагрузил комп.
Но система все так же нагружается, несколько раз запускал AVBR и каждый раз удаляет хост, но ничего не помогает.
Даже делал полное сканирование этой программой которое заняло 3 часа, но написало что не обнаружено вредоносных программ, майнер все так же нагружает ЦП.
Логи прикрепляю.

CollectionLog-2023.08.04-08.23.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\SysFilesF\RecoveryHosts - C:\Programdata\Microsoft\dpakp\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\1Hor - C:\Programdata\Microsoft\dpakp\Game.exe -ppidar (file missing)

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Kikita

Kikita 0

Опубликовано
  • Автор
Опубликовано

Пофиксил в хайджеке все что было сказано ( решились с ошибкой и кнопкой "ок")
Перезагрузил, попробовал еще раз посмотреть, больше этих пунктов не было, видимо пофиксились.
Защита от подделки не дает себя переключить
image.thumb.png.e9ae2892cd387549d36b46610ac902af.png

Отчеты от Фарбара прикрепил

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKU\S-1-5-21-3891693737-3059105726-96016339-1001\...\Run: [MicrosoftEdgeAutoLaunch_BC736C650C0CAFFFBF77AA5340197734] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3891693737-3059105726-96016339-1006\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3891693737-3059105726-96016339-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
Virustotal: C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe
U4 SAVService; отсутствует ImagePath
U4 Sophos MCS Agent; отсутствует ImagePath
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec.cloud
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2023_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2022_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2021_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 ____D C:\Program Files\Fortinet
2023-07-27 20:12 - 2023-07-27 20:13 - 000000000 ___HD C:\Users\John
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [287]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [287]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [287]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [287]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT [40]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT2 [287]
FirewallRules: [{1A8F7F9C-E341-442E-B9E1-CC5CEDBB7E70}] => (Block) LPort=135
FirewallRules: [{80286B08-0388-468F-B07C-78CF291C1116}] => (Block) LPort=445
FirewallRules: [{33499805-D2E4-4822-9194-0685F96038C4}] => (Block) LPort=5655
FirewallRules: [{74906538-E23A-4448-91FB-5EBDD3BA6521}] => (Block) LPort=135
FirewallRules: [{BE4F9698-A4C4-4555-BD73-18A0F4D2918D}] => (Block) LPort=445
FirewallRules: [{2A67A16A-E9E5-4A6C-BD27-F13FCEE7EB13}] => (Block) LPort=135
FirewallRules: [{132DBFE7-D8AB-4C21-A000-CA33D47EABD1}] => (Block) LPort=137
FirewallRules: [{F53C62CA-CC5A-4244-B973-D27B9CDEA3DC}] => (Block) LPort=138
FirewallRules: [{5716ED32-992D-4F02-805B-A9151083EC3D}] => (Block) LPort=139
FirewallRules: [{F3F038DF-F1C8-42F6-99DE-4F183518FF78}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{B6CBB6CE-F213-4849-9F16-CDA2B85C769E}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{E071CD78-34AD-475E-9C5F-540E7A11C4E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{D4B6E0F4-D65A-4A4A-8570-69341E76FA0A}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{0E399745-5842-49D3-9AB9-E4F61DB6F50B}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{0A9DB314-C18A-4A51-9A31-57841DAEAB79}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{2BC88B84-1F21-4EDC-BCFF-196A1036D0E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{12825A28-D282-4E71-B4CB-FFE13C741B19}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В диспетчере устройств много не установленных драйвером. Скачайте и доустановите.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано
50 минут назад, Kikita сказал:

Защита от подделки не дает себя переключить

Пробуйте сейчас.

 

Пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S2 NETDataSqlServer; C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\sqldb.exe [X]
S2 rwscyustv; C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe [X]
S2 sqldatabaseserv; C:\Windows\Inf\Netframeworksqldataservice\Framework4\vps.exe [X]
S2 SQLServiceFWSM; C:\Windows\Inf\NetframeworkServicesdrv\Famework\vds.exe [X]
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Скачайте этот архив.

Распакуйте. Запустите один reg файл, согласитесь с внесением изменений в реестр и перезагрузите систему.

Повторите то же со вторым reg файлом.

После второй перезагрузки соберите очередной лог FSS.txt

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Magerattor J.
      Стала сильно загружаться система, возможно подхватил майнер
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Сергей Danilov
      Не устанавливается Kaspersky Free, после удаления майнера
      От Сергей Danilov
      Произвёл чиску dr. web и KVRT, не устанавливается касперский, отчёт Autologger прилогаю
      CollectionLog-2024.09.28-11.30.zip
    • SDDdo
      [РЕШЕНО] Словил вирус/майнер
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • ast_v
      [РЕШЕНО] Майнер John
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • Slowme
      FixList для FRST
      От Slowme
      FRST.txt Добрый день, подозреваю что словил майнер или подобный вирус. Помогите составить фикслист
×
×
  • Создать...