Перейти к содержанию
Правила раздела

[РЕШЕНО] Обнаружил нового пользователя John

Volodya

Автор Volodya,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Volodya

Volodya 0

Опубликовано
Опубликовано (изменено)

Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста

CollectionLog-2024.01.14-01.31.zip

Изменено пользователем Volodya
добавил логи
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

Хорошо,

 

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

45. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже: 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
delref %SystemDrive%\PROGRAMDATA

areg

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано (изменено)

Отлично.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

По возможности, обновите указанное ПО до актуальных версий

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

 

µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.

Yandex v.23.11.3.935 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Asterix
      Пользователь John
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • Иван_Холодов
      Вирус забрал права Администратора. Как их вернуть?
      От Иван_Холодов
      Недавно словил удалённый доступ John (rms) и майнер Mysql, всё почистил, кроме папок с следами от майнеров и удалённых доступов. Папки в проводнике скрыты, а в cmd не даёт удалить-пишет "Отказано в доступе" (картинка 1). Также невозможно установить Rogue killer, HitmanPro, Malwarebytes (картинка 2). В прошлой винде создавал нового пользователя с правами администратора и там всё проворачивал. После этого отказал Microsoft store и все приложения из него, а также настройки багались при переходе на вкладку "Дисплей" в "Системе". В новой винде страшно создавать нового пользователя. Как мне вернуть права администратора без переустановки?


    • lastdance
      майнер John
      От lastdance
      обнаружил на компьютере нового пользователя John. прочитал что это майнер
    • HappyAilen
      Помогите появился пользователь John
      От HappyAilen
      После "установки антивируса" MBS програма не открываеться при удалении програмы из Диспетчера програм не разрешает доступ. Когда хочу закрыть процес ва диспетчере тоже не разрешает доступ. Месторосположения тоже не видно. И появился пользователь John
       
    • Clf
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю