Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Пользователь John

Asterix

Автор Asterix
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Asterix Новичок

Asterix

Опубликовано
Опубликовано

На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
 

Screenshot_21.png

Screenshot_24.png

Screenshot_25.png

Screenshot_26.png

Ссылка на комментарий
Поделиться на другие сайты
Asterix Новичок

Asterix

Опубликовано
  • Автор
Опубликовано

Запустил av block remover из другой папки, пролечил, перезапустил. 
Прилагаю лог.

Как я могу удостовериться, что всё хорошо?

AV_block_remove_2024.03.01-21.40.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Начало моего предыдущего сообщения не прочитали, а соответственно и не выполнили. Жду.

 

Цитата

Addition.txt создан не был

Значит сняли флажок с соответствующего пункта. Переделывайте.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O22 - Tasks_Migrated: AdobeAAMUpdater-1.0-DESKTOP-FFTTGJJ-Admin - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (file missing)
O22 - Tasks_Migrated: AdobeGCInvoker-1.0 - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe -mode=scheduled (file missing)


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
FirewallRules: [TCP Query User{C8863190-0D3B-4F65-B0B2-3BF1559857E9}E:\resolve.exe] => (Allow) E:\resolve.exe => No File
FirewallRules: [UDP Query User{F8FF0777-73FF-4BE2-85AB-E921D8D08CBA}E:\resolve.exe] => (Allow) E:\resolve.exe => No File
FirewallRules: [TCP Query User{C1A8DAA1-A2E6-4800-A2E5-A7F42D3BADC4}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => No File
FirewallRules: [UDP Query User{98DD34ED-3577-4021-9B37-C27C74A83328}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => No File
FirewallRules: [TCP Query User{8D8A158F-F457-4E6A-8DCA-801A7613DFF4}E:\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe] => (Allow) E:\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe => No File
FirewallRules: [UDP Query User{FA83CF9A-34EB-4052-BF1B-5C1D6C4B933F}E:\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe] => (Allow) E:\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe => No File
FirewallRules: [TCP Query User{05439D15-A02E-4003-A9AD-20FC319F84F7}E:\rs2v\binaries\win64\vngame.exe] => (Allow) E:\rs2v\binaries\win64\vngame.exe => No File
FirewallRules: [UDP Query User{9B371923-18A8-4874-A1AD-1349E2554C2C}E:\rs2v\binaries\win64\vngame.exe] => (Allow) E:\rs2v\binaries\win64\vngame.exe => No File
FirewallRules: [TCP Query User{B2EE06C9-D9AB-4D7E-88A3-483308512AFF}E:\program files (x86)\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) E:\program files (x86)\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => No File
FirewallRules: [UDP Query User{1402F56F-D9E1-4E79-9DEE-3B11B69CF2B7}E:\program files (x86)\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) E:\program files (x86)\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => No File
FirewallRules: [TCP Query User{079F622C-C454-451F-B2AB-A62E9B33886E}E:\sidmeierscivilization\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe] => (Allow) E:\sidmeierscivilization\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe => No File
FirewallRules: [UDP Query User{0B6EA6E0-BC2C-467C-ACF0-2566F7B876EE}E:\sidmeierscivilization\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe] => (Allow) E:\sidmeierscivilization\sidmeierscivilizationvi\base\binaries\win64eos\civilizationvi.exe => No File
FirewallRules: [{D3CD4335-6E1F-413C-AC98-BFB0DF3B4EC7}] => (Allow) C:\Users\Admin\AppData\Local\Temp\utorrent\utorrent.exe => No File
FirewallRules: [{FD69033F-56CC-4C7B-B194-1385A498F93B}] => (Allow) C:\Users\Admin\AppData\Local\Temp\utorrent\utorrent.exe => No File
FirewallRules: [TCP Query User{49FADAF5-C81E-4AE9-9FA5-A5D57DAB0895}E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe] => (Allow) E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe => No File
FirewallRules: [UDP Query User{B5B4B214-FAAC-4E3C-A427-CCD2D33A3AE4}E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe] => (Allow) E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe => No File
FirewallRules: [{FE239403-98C1-44F9-8152-74E9C3DFC9A1}] => (Block) E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe => No File
FirewallRules: [{1E4DB46F-3AB5-4E01-818B-B0AEE3376707}] => (Block) E:\sidmeiersciv6steampirate\sid meier's civilization vi\base\binaries\win64steam\civilizationvi.exe => No File
FirewallRules: [{8D2D54B5-2658-4118-9802-7CD778586E4A}] => (Allow) %ProgramFiles% (x86)\Radmin VPN\Radmin.exe => No File
FirewallRules: [TCP Query User{5F5730E8-1915-446D-8140-E6C2CC79C31A}C:\program files\adobe\adobe audition cc 2015\dvaaudiofilterscan.exe] => (Block) C:\program files\adobe\adobe audition cc 2015\dvaaudiofilterscan.exe => No File
FirewallRules: [UDP Query User{929BC022-1629-4D00-B870-33342E0215D4}C:\program files\adobe\adobe audition cc 2015\dvaaudiofilterscan.exe] => (Block) C:\program files\adobe\adobe audition cc 2015\dvaaudiofilterscan.exe => No File
FirewallRules: [{D83A4135-5E0C-42D2-BB6A-2F536BAE3FC3}] => (Allow) C:\Users\Admin\AppData\Local\Temp\bittorrent\bittorrent.exe => No File
FirewallRules: [{D1DA39A6-D157-4A9B-9E11-9033DA868A46}] => (Allow) C:\Users\Admin\AppData\Local\Temp\bittorrent\bittorrent.exe => No File
FirewallRules: [TCP Query User{F1E8D435-A17A-41A4-892B-8279D6AED73B}C:\users\admin\appdata\roaming\bittorrent\updates\bittorrent.exe] => (Allow) C:\users\admin\appdata\roaming\bittorrent\updates\bittorrent.exe => No File
FirewallRules: [UDP Query User{A3EF011F-E0AB-4D09-900D-0A446A5A837C}C:\users\admin\appdata\roaming\bittorrent\updates\bittorrent.exe] => (Allow) C:\users\admin\appdata\roaming\bittorrent\updates\bittorrent.exe => No File
FirewallRules: [{FE5BB247-512F-4348-BFE8-A717BBE93740}] => (Allow) E:\Grand Theft Auto 5\Grand Theft Auto V\GTA5.exe => No File
FirewallRules: [{19E837B0-0757-4B51-B665-0060866D277A}] => (Allow) E:\Grand Theft Auto 5\Grand Theft Auto V\GTA5.exe => No File
FirewallRules: [{234B41E6-40F3-48D8-A041-4EDBBABFF950}] => (Allow) E:\RAGEMP\GTA5.exe => No File
FirewallRules: [{384487A8-F53D-44B5-B4DF-3D7C583BD02D}] => (Allow) E:\RAGEMP\GTA5.exe => No File
FirewallRules: [{E3812CC6-FCE9-4537-8ACC-EA60E3FA7995}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.94.3422.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{93B7FDBB-20DC-4090-B121-6772878BE051}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.94.3422.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{92448730-730A-4E02-BF1A-DFD0D5955AA7}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.94.3422.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{F6E28825-EBE5-4AEA-BCCA-91AF5500C42F}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.94.3422.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [TCP Query User{FDDBF06D-7432-4C20-8FBD-41D7654C31C8}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => No File
FirewallRules: [UDP Query User{E1284A3E-241A-4939-A2CA-6C55DDFEC444}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => No File
FirewallRules: [TCP Query User{F0F0DA7B-E408-4D47-BF4C-698765841342}E:\enlisted\launcher.exe] => (Allow) E:\enlisted\launcher.exe => No File
FirewallRules: [UDP Query User{5ABA5673-2886-4E0E-9A08-54158BA45CE4}E:\enlisted\launcher.exe] => (Allow) E:\enlisted\launcher.exe => No File
FirewallRules: [TCP Query User{E21EB0FA-B848-4D27-A687-66BB1DB8A773}E:\rockstar games\grand theft auto v\gta5.exe] => (Allow) E:\rockstar games\grand theft auto v\gta5.exe => No File
FirewallRules: [UDP Query User{8A94F6A4-F221-4C24-8B68-22445ACAF9F2}E:\rockstar games\grand theft auto v\gta5.exe] => (Allow) E:\rockstar games\grand theft auto v\gta5.exe => No File
S3 Rockstar Service; "E:\Rockstar Games\Launcher\RockstarService.exe" [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Eugene_Konovalov
      [РЕШЕНО] Проблема с майнером John, Taskhostw.exe или как его еще называют RealtekHD
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • TloBeJluTeJlb
      Вирус John
      Автор TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • baobao
      [РЕШЕНО] Пользователь John, майнер?
      Автор baobao
      Столкнулся с пользователем John, удалил его в меню netplwiz(win+r) но при проверке компьютера через Miner Searcher написано #Проверка пользователя John.(вирусы не обнаружены) он у меня уже был и пропал и снова появился только не могу понять как его удалить чтобы даже не упоминалось о нём
      вот лог AVBR И MINER SEARCHER
      AV_block_remove_2024.12.23-22.43.logMinerSearch_23.12.2024_22-49-46.log
    • Fara
      [РЕШЕНО] Обнаружил пользователя john
      Автор Fara
      Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.
    • nghtmrmdtrd
      John вирус
      Автор nghtmrmdtrd
      Сегодня утром обнаружил, что цп ноутбука уходит под 100%, как обычно решил проверить его через Dr.Web, сайт мнгновенно закрвается, старые .exe др веб в загрузках тоже были удалены, попробовал откат на 2 дня, не проконтролировал нехватку памяти после чего откат не удался, а когда зашел снова в точку возврата, было написано что контрольных точек на этом компьютере больше нет. При запуске в безопасном режиме появился пользователь john. Откатывать винду лень, есть решение без отката?
       
      Сообщение от модератора Mark D. Pearlstone Темы перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...