Перейти к содержанию
Правила раздела

Майнер JOHN (закрывает страницы антивирусов, папки с автологами, нагружает память)

azitch

От azitch
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

azitch Новичок

azitch

Опубликовано
Опубликовано

Подхватил вирус. Возможный источник: торрент-файл. 

– Загружает ЦП до 100%;

– Не дает запускать антивирусы, сайты по аналогичной тематике;

– Закрывает папку с автологом, даже с переименованным файлом (последняя версия, скачана из FAQ); 

 

Характеристики системы: Выпуск  Windows 11 Домашняя для одного языка, Версия  22H2, 64-разрядная система 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела:

Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
azitch Новичок

azitch

Опубликовано
  • Автор
Опубликовано

Скачал AV block remover. Не запускался в обычном режиме, я перевел систему в безопасный режим с поддержкой сети. 

Отправляю файлы:

AV_block_remove_2023.12.04-15.11.log CollectionLog-2023.12.04-15.28.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - HKCU\..\Run: [татьяна] = C:\WINDOWS\explorer.exe hxxp://exinariuminix.info (sign: 'Microsoft')
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: татьяна - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v татьяна /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" (sign: 'Microsoft')
O22 - Tasks_Migrated: татьяна - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v татьяна /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" (sign: 'Microsoft')

 

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 29 NPAPI

Adobe Flash Player 29 PPAPI

Служба автоматического обновления программ

 

 

Ещё раз перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-489107593-2769407193-1540532243-1001\...\MountPoints2: {bbe23338-8d26-11ee-9d98-98fa9b14ebf5} - "G:\autorun.exe" 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
CHR HKU\S-1-5-21-489107593-2769407193-1540532243-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

DAEMON Tools Ultra - для какой цели используете?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • thealebs
      [РЕШЕНО] Майнер John
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ast_v
      [РЕШЕНО] Майнер John
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vasilvasilych
      [РЕШЕНО] Недолеченный майнер John
      От vasilvasilych
      Добрый день, уважаемые специалисты.
      Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.
      Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.
      Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.
      При этом kvrt запустился.
      Прошу помочь при возможности.
      Логи autologger прикладываю.
      CollectionLog-2024.08.18-18.51.zip
    • Sozdati
      Вирус John или майнер не получается ликвидировать
      От Sozdati
      Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
      Тогда удалить не получилось, пришлось переустановить windows.
      И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
      Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt
      FRST.txt
×
×
  • Создать...