Майнер John (нужна помощь с удалением)

[Vovabubl]

Брат поймал на компьютер вирус-майнер John. Пытаюсь дистанционно помочь ему через прогу AnyDesk.

Началось все с попыток установить ему Яндекс браузер. Брат его удалил чтобы переустановить, однако установка всегда прерывалась ошибкой, доходя до ~40%. Все файлы предыдещего Яндекс браузера почистили, но не помогло. Скачивали установщик из разных источников - безрезультатно. Затем обнаружилась скрытая папка пользователя John (см. скриншот ниже). Содержимого нет или не отображается. При запуске диспетчера задач наблюдаем резкий скачок нагрузки до 100%, затем спад до нормальных значений (не уверен, связано ли это с вирусом). Вирус блокирует доступ к сайтам антивирусных программ, пересылал через файлообменник установщик Malwarebytes - после установки его сразу же "снесло". Сейчас выполняем повторное сканирование через утилиту AVZ - первое результатов не принесло.

 

После первого скана попробовал применить скрипт, подсмотренный на этом форуме:

begin
 DeleteService('MBAMChameleon');
 DeleteService('MBAMService');
 DeleteService('MBAMIService');
 DeleteFile('C:\ProgramData\MB3Install\MBAMIService.exe','64');
 DeleteFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe','64');
 DeleteFile('C:\Windows\System32\Drivers\MbamChameleon.sys','64');
ExecuteSysClean;
RebootWindows(false);
end.

После выполнения скрипта при входе в диспетчер задач - скачок нагрузки до 30%, затем понижается. Однако, все еще нет доступа к сайтам антивирусов и сами антивирусы не устанавливаются. Прошу знатоков помочь в этом деле. Логи прикреплю чуть позже, по завершению сканирования.

UPD: AVbr не запускается даже после переименования файла.

UPD 2: Второе сканирование AVZ опять безрезультатно (скриншот ниже). 0 вредоносных программ и подозрений. Логи также прикреплю ниже.

 

Логи второго сканирования:

avz_log.txt

Изменено 20 декабря, 2023 пользователем Vovabubl
Дополнение

[Vovabubl]

Сканировал при помощи Farbar Recovery Tool, выдало следующие логи: 

FRST.txtAddition.txt

[Sandor]

Здравствуйте!

 

51 минуту назад, Vovabubl сказал:

попробовал применить скрипт, подсмотренный на этом форуме

Скрипты и рекомендации даются индивидуально на основании изученных отчётов конкретной системы. Так что выполнение чужих скриптов в лучшем случае ничем не поможет, а в худшем - навредит.

 

54 минуты назад, Vovabubl сказал:

AVbr не запускается даже после переименования файла.

Запускать следует из любой папки, КРОМЕ папки Рабочий стол или Загрузки (Desktop или Downloads).

Если и так не получится, запустите из безопасного режима с поддержкой сети.

После удачного запуска и перезагрузки отчёт AV_block_remove_дата-время.log прикрепите его к следующему сообщению.

Затем прочтите и выполните Порядок оформления запроса о помощи

Здесь нужен архив CollectionLog.