[РЕШЕНО] Майнер john

[zimex]

Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.

[Sandor]

Здравствуйте!

 

Дальше прочтите Порядок оформления запроса о помощи и прикрепите архив CollectionLog.

[zimex]

6 часов назад, Sandor сказал:

Здравствуйте!

 

Дальше прочтите Порядок оформления запроса о помощи и прикрепите архив CollectionLog.

все сделал, архив прикрепил

CollectionLog-2024.04.15-21.45.zip

 

еще заметил что удалилось ПО амд, как я понял туда он тоже вшивался, но при это видеодрайвер сохранился, мне переустановить полностью нужно будет драйвер?

[Sandor]

Пока ничего ни устанавливайте, ни удаляйте без специального на то указания.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll (sign: 'Apple Inc.')
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: (disabled) Temp - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse (sign: 'Microsoft')
O26 - Debugger: HKLM\..\calc.exe: [Debugger] = C:\Windows\system32\win32calc.exe (not signed - Microsoft Corporation - B832B7A1E333EB4FD88B11422E363F51805F480D)
O26 - Debugger: HKLM\..\'CompatTelRunner.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\'DeviceCensus.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[zimex]

да, действительно в HijackThis пару строк не было, все сделал как сказали, прикрепляю дукументы

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812205
  CHR StartupUrls: Default -> "hxxp://rusearch.co"
  Unlock: C:\ProgramData\tl
  Folder: C:\ProgramData\tl
  AlternateDataStreams: C:\Users\Артём zimex\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Артём zimex\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{A764206D-95AA-4B62-81DB-17F2B225FE41}] => (Allow) LPort=80
  FirewallRules: [{9EB658AA-1123-4B57-9518-23C23A0E9908}] => (Allow) LPort=443
  FirewallRules: [{A87BF2C2-0FAD-4D93-B379-70AFAF662FD8}] => (Allow) LPort=20010
  FirewallRules: [{88B0BA85-5189-4982-8690-40BF70EC812A}] => (Allow) LPort=3478
  FirewallRules: [{E7A2DC56-303B-4D23-B1BB-CEEE69F280BB}] => (Allow) LPort=7850
  FirewallRules: [{54DD58FA-7528-4169-B723-D06406C6A40B}] => (Allow) LPort=7852
  FirewallRules: [{A07C543A-8271-4C35-9152-2E23EA0BEF09}] => (Allow) LPort=7853
  FirewallRules: [{BFD1246D-5BC5-473A-9936-971D5B446774}] => (Allow) LPort=27022
  FirewallRules: [{FA23D291-6DC1-4DE1-81FA-700A529B8109}] => (Allow) LPort=6881
  FirewallRules: [{C3CAA7B7-EEC0-4FE4-A1AB-0A5721D385E6}] => (Allow) LPort=33333
  FirewallRules: [{A3863EA6-EE3B-4FAB-9220-E03929CA5AA1}] => (Allow) LPort=20443
  FirewallRules: [{0E9BF61C-6AAE-4765-A9F5-6A8E58E76F90}] => (Allow) LPort=8090
  FirewallRules: [{0CE4813E-BBB2-4D3F-A987-78A2A7A04461}] => (Allow) LPort=32683
  FirewallRules: [{4BFA98E3-3A56-4143-83BA-56DD39B4A58F}] => (Allow) LPort=26822
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc]
  "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
  "Description"="@WaaSMedicSvcImpl.dll,-101"
  "DisplayName"="@WaaSMedicSvcImpl.dll,-100"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
  "LaunchProtected"=dword:00000002
  "ObjectName"="LocalSystem"
  "RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
    00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
    67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
    00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
    73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
    65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
    79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
    00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
    65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,65,\
    00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
    4d,00,61,00,6e,00,61,00,67,00,65,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,\
    00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000003
  "Type"=dword:00000020
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Parameters]
  "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
    00,64,00,6c,00,6c,00,00,00
  "ServiceDllUnloadOnStop"=dword:00000001
  "ServiceMain"="ServiceMain"
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Security]
  "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
    05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
    01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  EndRegedit:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнение скрипта может занять некоторое время (до получаса), дождитесь окончания. Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне устройств видны несколько, для которых не установлены драйверы. Скачайте необходимое с сайта производителя и установите недостающее.

Изменено 17 апреля, 2024 пользователем Sandor

[zimex]

Fixlog.txt

[Sandor]

Сделайте такой отчёт:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[zimex]

FSS.txt

[Sandor]

Уточните, пожалуйста, система оригинальная, не сборка?

Каких-либо настроек, отключающих обновление или систему защиты не использовали?

[zimex]

сборка by flibustier, центр обновлений и виндовс дефендер вырезаны

[Sandor]

Понятно. Значит на этом будем завершать:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[zimex]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

AMD Software v.24.2.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
7-Zip 22.01 v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9032 Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
Google Chrome v.123.0.6312.123 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

Читайте Рекомендации после удаления вредоносного ПО

[zimex]

спасибо огромное вам и вашей, вы просто лучшие, слов не подобрать!)))