Помогите удалить майнер John

[Pil_Pul]

Обнаружил майнер, Появился администратор с именем John

Просканировал программой FRSTx64

логи прикрепил

Помогите, что дальше делать?FRST.txtAddition.txt

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[Pil_Pul]

CollectionLog-2024.01.16-15.13.zipПрикрепил логи

[Sandor]

Здравствуйте!

Если не возражаете, я продолжу.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Pil_Pul]

На этот раз AVbr сам предложил удалить пользователя John и почистить hosts. Видимо, само наличие хэлпера уже влияет на решение проблемы)

Логи прикрепилAV_block_remove_2024.01.16-15.45.logCollectionLog-2024.01.16-15.53.zip

[Sandor]

Вы запустили AVbr в безопасном режиме. Запустите его ещё раз, только в уже в нормальном режиме.

После перезагрузки прикрепите новый его отчёт и соберите и прикрепите новый CollectionLog.

[Pil_Pul]

CollectionLog-2024.01.16-16.15.zipAV_block_remove_2024.01.16-16.06.log

[Sandor]

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - Autorun.inf: E:\autorun.inf - open - peSE\PStart.exe (file missing)
O4 - MountPoints2: HKCU\..\{61a8257a-f5b2-11ed-bfbf-047c164acee9}\shell\AutoRun\command: (default) = E:\SETUP.EXE (file missing)
O4 - MountPoints2: HKCU\..\{61a8257e-f5b2-11ed-bfbf-047c164acee9}\shell\AutoRun\command: (default) = "F:\setup.EXE" /AUTORUN (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

Перезагрузите компьютер.

После этого включите защиту от подделки (была отключена майнером).

 

Далее - удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Pil_Pul]

FRST.txtAddition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2890524617-998572104-938242674-1001\...\Run: [EnlistedLauncher] => "D:\Games\Enlisted\launcher.exe" (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\kaaak\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\kaaak\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{6E994BF7-5FD7-4039-BC31-63E14A139B12}] => (Allow) LPort=32683
  FirewallRules: [{7F0FD639-EA84-445F-859C-7EC190A4C04F}] => (Allow) LPort=26822
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Pil_Pul]

Fixlog.txt

[Sandor]

Хорошо. Проблема решена?

[Pil_Pul]

Да, спасибо большое)

[Sandor]

В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.