Перейти к содержанию
Правила раздела

Помогите удалить майнер John

Pil_Pul

Автор Pil_Pul
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Pil_Pul

Pil_Pul

Опубликовано
Опубликовано

Обнаружил майнер, Появился администратор с именем John

Просканировал программой FRSTx64

логи прикрепил

Помогите, что дальше делать?FRST.txtAddition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

Если не возражаете, я продолжу.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Sandor

Sandor

Опубликовано
Опубликовано

Вы запустили AVbr в безопасном режиме. Запустите его ещё раз, только в уже в нормальном режиме.

После перезагрузки прикрепите новый его отчёт и соберите и прикрепите новый CollectionLog.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - Autorun.inf: E:\autorun.inf - open - peSE\PStart.exe (file missing)
O4 - MountPoints2: HKCU\..\{61a8257a-f5b2-11ed-bfbf-047c164acee9}\shell\AutoRun\command: (default) = E:\SETUP.EXE (file missing)
O4 - MountPoints2: HKCU\..\{61a8257e-f5b2-11ed-bfbf-047c164acee9}\shell\AutoRun\command: (default) = "F:\setup.EXE" /AUTORUN (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

Перезагрузите компьютер.

После этого включите защиту от подделки (была отключена майнером).

 

Далее - удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2890524617-998572104-938242674-1001\...\Run: [EnlistedLauncher] => "D:\Games\Enlisted\launcher.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\kaaak\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\kaaak\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{6E994BF7-5FD7-4039-BC31-63E14A139B12}] => (Allow) LPort=32683
FirewallRules: [{7F0FD639-EA84-445F-859C-7EC190A4C04F}] => (Allow) LPort=26822
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владхелп
      [РЕШЕНО] Помогите удалить Майнер вирус John
      Автор Владхелп
      Недавно заметил что в пользователях появился John, ноут стал шуметь когда просто стоит. Этот вирус не позволяет гуглить антивирусы и программы, сразу же закрывает браузер, командные строки и т.д. Помогите!
    • lastdance
      майнер John
      Автор lastdance
      обнаружил на компьютере нового пользователя John. прочитал что это майнер
    • Yepe
      Майнер John
      Автор Yepe
      Подхватил вирус. Случайно обнаружил пользователя John, погуглил, и вроде как выяснил, что это майнер. Сканировал через Dr.Web CureIt! были проблемные файлы(например rdpwrap.dll) но вроде все удалил. Пользователя John тоже удали. Скачал Farbar Recovery Scan Tool и просканировал. Логи прикрепляю.  Хочу узнать Осталась ли у меня еще проблема и что нужно делать?
      FRST.txtAddition.txt
    • Cybermancubus
      Майнер John
      Автор Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • CzarOfScripts
      Майнер John
      Автор CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
×
×
  • Создать...