Вирус-майнер (пользователь John)

[conrad]

Здравствуйте! Пару недель назад словил майнер. Пытался удалить сам, большинство проблем устранил, однако остались подозрения и паранойя, что еще "остатки" от этой проблемы где-то лежат в системе (не устанавливаются обычные антивирусы по типу dr web space и бесплатная версия касперского). Поэтому прошу о помощи. И еще вопрос, могут ли подобные вирусы заражать usb-носители?
Ниже прикреплены логи, как по методичке. 

CollectionLog-2024.01.20-14.04.zip

Изменено 20 января пользователем conrad

[Sandor]

Здравствуйте!

 

1 час назад, conrad сказал:

большинство проблем устранил

Каким образом? Расскажите.

 

1 час назад, conrad сказал:

не устанавливаются обычные антивирусы

Что именно происходит, появляется ошибка? Какая?

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Кнопка "Яндекс" на панели задач

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[conrad]

1) Про устранение проблем: Сначала удалил из реестра пользователя John. Потом удалил его из самих пользователей. С помощью какого-то скрипта (уже не вспомню, где нашел) вернул себе частично права админа. Потом проблемы устранял посредством использования KVRT и dr web cureit. Первый удалил множество троянов, а второй нашел троян "game.exe" и тоже его удалил.  Все это происходило с выключенным интернетом. 

2) про проблемы с антивирусами: касперский выдает неизвестную ошибку, dr web space выдает "код ошибки: 16"

3) Отчеты ниже

Addition.txt FRST.txt

[Sandor]

Вижу, вы запускали:

Цитата

2024-01-08 13:59 - 2024-01-08 13:59 - 009623394 _____ C:\Users\roman\Downloads\AVbr.zip

 

Если сохранился отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1684540053-2397894434-191686861-1001\...\MountPoints2: {38211548-34a4-11eb-9734-244bfe8d4c06} - "D:\HiSuiteDownLoader.exe" 
  Task: {E1E376A9-6AB0-4FF2-99CC-CFADDFC5D587} - \OneDrive Standalone Update Task-S-1-5-21-1684540053-2397894434-191686861-500 -> Нет файла <==== ВНИМАНИЕ
  2024-01-08 22:29 - 2024-01-08 22:29 - 000000000 ____D C:\ProgramData\Doctor Web
  2024-01-08 12:54 - 2024-01-08 13:39 - 000000000 ____D C:\Users\roman\Doctor Web
  2024-01-07 19:53 - 2024-01-07 19:53 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2024-01-08 21:45 - 2024-01-08 21:45 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[conrad]

возник вопрос: 

так и должно быть, что удаление временных файлов из temp идёт уже около 30 минут?

 

1) Отчет AV block remover, к сожалению, не сохранился

2) с FRST все прошло успешно. Вот отчет

Fixlog.txt

[Sandor]

Пробуйте сейчас установить антивирус.

[conrad]

Касперский и dr web так и не устанавливаются. Пробовал еще pro32 total security, полоса доходит до конца и так и остается. Зашел в диспетчер задач, а там защитник виндоус с процессом "удаление вредоносного ПО". Что делать?
и еще, почему в панели безопасности у меня стоит такое непонятное название группы, скрин приложил.

 

Изменено 21 января пользователем conrad

[Sandor]

Соберите и прикрепите новые отчёты FRST.txt и Addition.txt

[conrad]

Отчеты

FRST.txt Addition.txt

[a78182515m]

Вот у меня такая же проблема, Майнер удалил остались неизвестные пользователи и куча груп с определеними правами ,решил переустановить Виндоус не е помогло 

[Sandor]

21 час назад, conrad сказал:

Пробовал еще pro32 total security

Пока самостоятельно ничего не устанавливайте, пожалуйста.

 

Я когда просил переделать логи, забыл упомянуть, чтоб вы отметили перед сбором галочкой пункт "Файлы за 90 дней".

Переделайте ещё раз, пожалуйста.

 

@a78182515m, не пишите в чужой теме, пожалуйста. Создайте свою и выполните Порядок оформления запроса о помощи

[conrad]

Новые отчеты

Addition.txt FRST.txt

[Sandor]

21.01.2024 в 11:50, conrad сказал:

Касперский и dr web так и не устанавливаются

Пока оставьте только антивирус Касперского. Что именно происходит при установке? Покажите скриншот ошибки.

 

21.01.2024 в 11:50, conrad сказал:

почему в панели безопасности у меня стоит такое непонятное название группы

Это не страшно. Следы бывшей учётной записи.

 

Сделайте проверку с помощью KVRT. Сообщите результат.

[conrad]

Прикрепляю результат проверки и скриншот ошибки установки(3 скрин результат нажатия кнопки закрыть при неизвестной ошибке). Устанавливал бесплатную версию

[Sandor]

Такой скрипт выполните.

• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  c:\Program Files (x86)\Kaspersky Lab\
  c:\ProgramData\Kaspersky Lab\
  c:\ProgramData\KasperskyLab\
  C:\ProgramData\Kaspersky Lab Setup Files
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

Пробуйте установить.