Перейти к содержанию

Вирус-майнер (пользователь John)


Рекомендуемые сообщения

Здравствуйте! Пару недель назад словил майнер. Пытался удалить сам, большинство проблем устранил, однако остались подозрения и паранойя, что еще "остатки" от этой проблемы где-то лежат в системе (не устанавливаются обычные антивирусы по типу dr web space и бесплатная версия касперского). Поэтому прошу о помощи. И еще вопрос, могут ли подобные вирусы заражать usb-носители?
Ниже прикреплены логи, как по методичке. 

CollectionLog-2024.01.20-14.04.zip

Изменено пользователем conrad
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 42
  • Created
  • Последний ответ

Top Posters In This Topic

  • Sandor

    21

  • conrad

    21

  • a78182515m

    1

Здравствуйте!

 

1 час назад, conrad сказал:

большинство проблем устранил

Каким образом? Расскажите.

 

1 час назад, conrad сказал:

не устанавливаются обычные антивирусы

Что именно происходит, появляется ошибка? Какая?


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Кнопка "Яндекс" на панели задач

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

1) Про устранение проблем: Сначала удалил из реестра пользователя John. Потом удалил его из самих пользователей. С помощью какого-то скрипта (уже не вспомню, где нашел) вернул себе частично права админа. Потом проблемы устранял посредством использования KVRT и dr web cureit. Первый удалил множество троянов, а второй нашел троян "game.exe" и тоже его удалил.  Все это происходило с выключенным интернетом. 

2) про проблемы с антивирусами: касперский выдает неизвестную ошибку, dr web space выдает "код ошибки: 16"

3) Отчеты ниже

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Вижу, вы запускали:

Цитата

2024-01-08 13:59 - 2024-01-08 13:59 - 009623394 _____ C:\Users\roman\Downloads\AVbr.zip

 

Если сохранился отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1684540053-2397894434-191686861-1001\...\MountPoints2: {38211548-34a4-11eb-9734-244bfe8d4c06} - "D:\HiSuiteDownLoader.exe" 
    Task: {E1E376A9-6AB0-4FF2-99CC-CFADDFC5D587} - \OneDrive Standalone Update Task-S-1-5-21-1684540053-2397894434-191686861-500 -> Нет файла <==== ВНИМАНИЕ
    2024-01-08 22:29 - 2024-01-08 22:29 - 000000000 ____D C:\ProgramData\Doctor Web
    2024-01-08 12:54 - 2024-01-08 13:39 - 000000000 ____D C:\Users\roman\Doctor Web
    2024-01-07 19:53 - 2024-01-07 19:53 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
    2024-01-08 21:45 - 2024-01-08 21:45 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

возник вопрос: 

так и должно быть, что удаление временных файлов из temp идёт уже около 30 минут?

 

1) Отчет AV block remover, к сожалению, не сохранился

2) с FRST все прошло успешно. Вот отчет

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Касперский и dr web так и не устанавливаются. Пробовал еще pro32 total security, полоса доходит до конца и так и остается. Зашел в диспетчер задач, а там защитник виндоус с процессом "удаление вредоносного ПО". Что делать?
и еще, почему в панели безопасности у меня стоит такое непонятное название группы, скрин приложил.

 

1.PNG

Изменено пользователем conrad
Ссылка на комментарий
Поделиться на другие сайты

Вот у меня такая же проблема, Майнер удалил остались неизвестные пользователи и куча груп с определеними правами ,решил переустановить Виндоус не е помогло 

Ссылка на комментарий
Поделиться на другие сайты

21 час назад, conrad сказал:

Пробовал еще pro32 total security

Пока самостоятельно ничего не устанавливайте, пожалуйста.

 

Я когда просил переделать логи, забыл упомянуть, чтоб вы отметили перед сбором галочкой пункт "Файлы за 90 дней".

Переделайте ещё раз, пожалуйста.

 

@a78182515m, не пишите в чужой теме, пожалуйста. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

21.01.2024 в 11:50, conrad сказал:

Касперский и dr web так и не устанавливаются

Пока оставьте только антивирус Касперского. Что именно происходит при установке? Покажите скриншот ошибки.

 

21.01.2024 в 11:50, conrad сказал:

почему в панели безопасности у меня стоит такое непонятное название группы

Это не страшно. Следы бывшей учётной записи.

 

Сделайте проверку с помощью KVRT. Сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю результат проверки и скриншот ошибки установки(3 скрин результат нажатия кнопки закрыть при неизвестной ошибке). Устанавливал бесплатную версию

каспер.PNG

ошибка.PNG

ошибка 2.PNG

отчет.PNG

Ссылка на комментарий
Поделиться на другие сайты

Такой скрипт выполните.

  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    c:\Program Files (x86)\Kaspersky Lab\
    c:\ProgramData\Kaspersky Lab\
    c:\ProgramData\KasperskyLab\
    C:\ProgramData\Kaspersky Lab Setup Files
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Пробуйте установить.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • Cybermancubus
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ast_v
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • Sozdati
      От Sozdati
      Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
      Тогда удалить не получилось, пришлось переустановить windows.
      И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
      Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt
      FRST.txt

×
×
  • Создать...