Майнер JOHN (закрывает страницы антивирусов, папки с автологами, нагружает память)

[azitch]

Подхватил вирус. Возможный источник: торрент-файл. 

– Загружает ЦП до 100%;

– Не дает запускать антивирусы, сайты по аналогичной тематике;

– Закрывает папку с автологом, даже с переименованным файлом (последняя версия, скачана из FAQ); 

 

Характеристики системы: Выпуск  Windows 11 Домашняя для одного языка, Версия  22H2, 64-разрядная система 

 

[Sandor]

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела:

Порядок оформления запроса о помощи

[azitch]

Скачал AV block remover. Не запускался в обычном режиме, я перевел систему в безопасный режим с поддержкой сети. 

Отправляю файлы:

AV_block_remove_2023.12.04-15.11.log CollectionLog-2023.12.04-15.28.zip

[Sandor]

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [татьяна] = C:\WINDOWS\explorer.exe hxxp://exinariuminix.info (sign: 'Microsoft')
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: татьяна - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v татьяна /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" (sign: 'Microsoft')
O22 - Tasks_Migrated: татьяна - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v татьяна /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" (sign: 'Microsoft')

 

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 29 NPAPI

Adobe Flash Player 29 PPAPI

Служба автоматического обновления программ

 

 

Ещё раз перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[azitch]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-489107593-2769407193-1540532243-1001\...\MountPoints2: {bbe23338-8d26-11ee-9d98-98fa9b14ebf5} - "G:\autorun.exe" 
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  C:\Users\татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-489107593-2769407193-1540532243-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

DAEMON Tools Ultra - для какой цели используете?