Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Майнер John

GodHeaven

Автор GodHeaven
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

GodHeaven Новичок

GodHeaven

Опубликовано
Опубликовано

Выполнял проверку пк с помощью антивируса Bitdefender, он обнаружил около 7 вирусов и устранил их. Но обнаружил еще одну историюimage.png.eab24e9d974c84fa85f690d94cc5ab3c.png . Узнал что у меня на пк есть учетная запись John, прогуглив узнал что это сокрее всего майнер, учетка не удаляется антивирусом, стоит ли переживать и как это фиксить? Спасибо за ответ

Ссылка на комментарий
Поделиться на другие сайты
GodHeaven Новичок

GodHeaven

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепил логи, как было указано в гайде, сделал проверку от утилиты касперского и он дополнительно нашел этот файл. Спасибо за ответы

 image.thumb.png.ec3e61e6e233808a7e21ed6c636e0be2.png

CollectionLog-2024.01.13-20.39.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

image.png

Изменено пользователем GodHeaven
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте архив по ссылке, распакуйте, запустите каждый из файлов и подтвердите внесение информации в реестр.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1508042422-2024585968-2705894631-1001\...\Run: [Steam] => "B:\Steam\steam.exe" -silent (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 GoogleUpdaterInternalService122.0.6234.0; C:\Program Files (x86)\Google\GoogleUpdater\122.0.6234.0\updater.exe [4639520 2024-01-08] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
S2 GoogleUpdaterService122.0.6234.0; C:\Program Files (x86)\Google\GoogleUpdater\122.0.6234.0\updater.exe [4639520 2024-01-08] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
S3 SU10Guard; "B:\Новая папка\StopUpdates10\SU10Guard.exe" [X]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2023-11-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-13] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-11-15] (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{AC33EA56-A709-4E92-BC40-26F790DB5153}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{513CCC5F-0ABF-4BCF-B2D3-96D20FFE2B02}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
FirewallRules: [TCP Query User{460BC343-01E8-4F32-A199-B9688B9550B0}C:\users\valer\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\valer\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{A304AB69-C2F6-4F8D-9725-BEE300E74006}C:\users\valer\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\valer\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{68B2ADF2-A18F-4F0F-AF61-E5227F3C3236}C:\users\valer\appdata\roaming\streamcraft\runtime\jdk64\bin\java.exe] => (Allow) C:\users\valer\appdata\roaming\streamcraft\runtime\jdk64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{D98B2ED2-6C67-4296-A5D2-20A00B5B629B}C:\users\valer\appdata\roaming\streamcraft\runtime\jdk64\bin\java.exe] => (Allow) C:\users\valer\appdata\roaming\streamcraft\runtime\jdk64\bin\java.exe => Нет файла
FirewallRules: [{C67A4A78-495D-4E8D-A227-F08350472115}] => (Allow) C:\Program Files (x86)\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{D0472B09-DF0F-405A-873B-3A6D0FC0C770}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{1E19416F-D22C-4166-A877-723B19646BF4}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{9668E5F9-2DD3-4AFB-9CD5-5B3E9E2F8D7E}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{8021177A-4B4A-4201-A210-8CF2C5B55FD5}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{320E0034-6999-4E28-BC20-FEC17E83BF7F}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{504C9DD6-1654-436D-96A9-2706CC903F71}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{FD99EDDA-BB48-41F4-BB50-8BF0E428391B}] => (Allow) C:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{CB7ABF76-0E5F-480E-A848-89BA29FB972D}] => (Allow) B:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{01324C3E-75AD-48F8-B498-4BB51521D7A3}] => (Allow) B:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{91951705-3901-4762-B37F-06ECDFEE9B71}C:\users\valer\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\valer\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла
FirewallRules: [UDP Query User{77F0C787-F46A-422F-976E-AB05D65494A7}C:\users\valer\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\valer\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла
FirewallRules: [TCP Query User{FEE62F45-B135-400E-BCE6-F1A1A9665848}C:\users\valer\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\valer\appdata\local\faceit\app-1.31.10\faceit.exe => Нет файла
FirewallRules: [UDP Query User{A1CDFD5F-6CA4-4897-BB15-2899F42A0EEE}C:\users\valer\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\valer\appdata\local\faceit\app-1.31.10\faceit.exe => Нет файла
FirewallRules: [{48F5B363-6521-441D-94F4-117CF9456A94}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{46DA171D-CD10-48CB-B3D1-E8E4ABA8E833}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{3CF5E877-A36A-4851-A29E-94C46B7E13D4}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4D8DA906-D35C-4D6A-A631-244A55636159}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1148862E-7A73-4321-B2F6-7A53EA5462DD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{D3255059-805B-4811-839C-0D7C04B59747}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0EE7F320-0750-4DD7-8D08-A28B5A637442}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{5795920F-9172-4215-AC13-C746C58BE44F}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{171ACB62-70A3-4B70-880B-E73EB6399795}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{F68FBE19-4E3B-43FE-88C3-822FC97CCE24}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [TCP Query User{5129D7B0-F9FB-476B-BFA1-49C5319B2F04}C:\users\valer\downloads\anydesk.exe] => (Allow) C:\users\valer\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{7C5CAEE8-A2D1-4511-B60D-F268FB5464CF}C:\users\valer\downloads\anydesk.exe] => (Allow) C:\users\valer\downloads\anydesk.exe => Нет файла
FirewallRules: [{B1CC0C1F-1044-44FA-915B-4450B1594433}] => (Allow) C:\Users\valer\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{CD146FE1-D283-41F6-8FE5-F17AB24FD148}] => (Allow) C:\Users\valer\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{FA034CD8-125F-4D97-B833-AF95C773AAD4}] => (Allow) C:\Users\valer\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{AE203161-2F35-4E36-AD35-1EAE585AA2FB}B:\steam\steamapps\common\valheim dedicated server\valheim_server.exe] => (Allow) B:\steam\steamapps\common\valheim dedicated server\valheim_server.exe => Нет файла
FirewallRules: [UDP Query User{BE774878-C622-44D5-8756-50D0983716BD}B:\steam\steamapps\common\valheim dedicated server\valheim_server.exe] => (Allow) B:\steam\steamapps\common\valheim dedicated server\valheim_server.exe => Нет файла
FirewallRules: [{6E6E489F-1014-4CA1-9D0B-E8FF9B999455}] => (Allow) B:\Steam\steamapps\common\SnowRunner\Sources\Bin\SnowRunner.exe => Нет файла
FirewallRules: [{E34A385E-7DD4-4C03-BE2D-1DFDA9C97D1E}] => (Allow) B:\Steam\steamapps\common\SnowRunner\Sources\Bin\SnowRunner.exe => Нет файла
FirewallRules: [{604079E4-1248-401E-BE38-D64463466C07}] => (Allow) C:\Users\valer\AppData\Local\Programs\Opera\102.0.4880.16\opera.exe => Нет файла
FirewallRules: [TCP Query User{E9D932FD-69DD-4B74-B4B9-9198265F2390}C:\users\valer\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\valer\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{F3B350BA-3AE3-4369-81F8-755C251F212B}C:\users\valer\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\valer\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{E2B6459E-09D0-4162-AA8D-E437B9022C2A}C:\users\valer\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\valer\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{862C41D0-1C18-410D-90B4-73025F57B905}C:\users\valer\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\valer\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{44C35A43-4494-4FFC-8E66-98BCAC16F030}C:\users\valer\appdata\local\temp\rar$exa4336.24975\binmaster-v2-win.exe] => (Allow) C:\users\valer\appdata\local\temp\rar$exa4336.24975\binmaster-v2-win.exe => Нет файла
FirewallRules: [UDP Query User{3A9E03AA-C33F-4EA1-B10B-166D704A32A4}C:\users\valer\appdata\local\temp\rar$exa4336.24975\binmaster-v2-win.exe] => (Allow) C:\users\valer\appdata\local\temp\rar$exa4336.24975\binmaster-v2-win.exe => Нет файла
FirewallRules: [TCP Query User{E7FA8129-BC24-43CC-B7EA-88E5936D1444}C:\users\valer\desktop\новая папка\binmaster-v2-win.exe] => (Allow) C:\users\valer\desktop\новая папка\binmaster-v2-win.exe => Нет файла
FirewallRules: [UDP Query User{9B226767-D59E-45EC-993C-8CCB463E1899}C:\users\valer\desktop\новая папка\binmaster-v2-win.exe] => (Allow) C:\users\valer\desktop\новая папка\binmaster-v2-win.exe => Нет файла
FirewallRules: [TCP Query User{DC2F7CCB-23DE-4052-9B54-3897B941C6B9}C:\users\valer\desktop\mmvcserversio\mmvcserversio.exe] => (Allow) C:\users\valer\desktop\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [UDP Query User{4F5FBF1A-0423-41CD-A922-EBA04A4C0FCF}C:\users\valer\desktop\mmvcserversio\mmvcserversio.exe] => (Allow) C:\users\valer\desktop\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [{B6BC05A7-F225-4784-8578-02C2ED531D87}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
GodHeaven Новичок

GodHeaven

Опубликовано
  • Автор
Опубликовано

Да спасибо, второй юзер пропал судя по всему как и майнер. Я бы хотел провести профилактику, чтобы наверняка знать что от этого избавился. Если необходимо, все как вы скажете

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
GodHeaven Новичок

GodHeaven

Опубликовано
  • Автор
Опубликовано (изменено)

SecurityCheck.txt Сделал, прикрепил. Забавно что нашел тут Kaspersky в антивирусах, хотя не устанавливал его xD

Изменено пользователем GodHeaven
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
    • Eugene_Konovalov
      [РЕШЕНО] Проблема с майнером John, Taskhostw.exe или как его еще называют RealtekHD
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • yestryl
      [РЕШЕНО] подозрение на майнер/стиллер
      Автор yestryl
      скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC.
      CollectionLog-2025.07.13-21.57.zip
×
×
  • Создать...