Перейти к содержанию

[РЕШЕНО] Пожалуйста помогите удалить вирус Jhon.


Рекомендуемые сообщения

Заметил у себя скрытого пользователя Jhon.
Во время игры часто тупит интернет, иногда когда вылезает ошибка подключения интернет полностью вырубается, и включается через минуту

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

А какой программой лучше собрать лог?

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

В AVbr надо выбирать диски для сканирования (по типу C или D)  или запустить с дефолтными настройками? 

Ссылка на комментарий
Поделиться на другие сайты

AV_block_remove_2024.04.18-18.53.log 

 

 

4 часа назад, Sandor сказал:

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

Вы тут? я прикрепил лог

 

Ссылка на комментарий
Поделиться на другие сайты

15 часов назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Это сделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

48 минут назад, Sandor сказал:

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Всё сделал по инструкцииAddition.txtFRST.txtClearLNK-2024.04.19_12.33.43.log

Ссылка на комментарий
Поделиться на другие сайты

Просьба - не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Деинсталлируйте нежелательное ПО:

Bonjour
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-2020379708-1947350443-1007290692-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
    AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [2594]
    AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [2594]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TM.blf:9E93598F0C [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000001.regtrans-ms:CE6D670F21 [2594]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000002.regtrans-ms:20602BD3BB [2594]
    AlternateDataStreams: C:\ProgramData\qdaliobv.akn:2F2C2390EA [2594]
    AlternateDataStreams: C:\ProgramData\sokqucqi.nri:CFEA2D0235 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk:4BAE54BCF5 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELTARUNE.lnk:06292946D0 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
    AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    FirewallRules: [{5955F518-2D0D-467D-91BA-4F4903FA8DD6}] => (Allow) LPort=1900
    FirewallRules: [{C11ACC7A-3CB4-4BA4-B651-321526E17B85}] => (Allow) LPort=2869
    FirewallRules: [{0C157DE5-3B99-4359-80A2-2A0576A1681B}] => (Allow) LPort=1900
    FirewallRules: [{416EA0A8-A181-4C57-9016-4FF4B0FDB68C}] => (Allow) LPort=2869
    FirewallRules: [{F1E70A3D-B570-4F0A-ABE2-A1000CEB7325}] => (Allow) C:\Users\user\AppData\Local\Chromium\Application\chrome.exe => Нет файла
    FirewallRules: [{F60874CF-D787-4EE2-B6C1-1EA492732BD0}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{26A73D1A-EFDF-4FF7-9DEE-FFA5CDAEEA07}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Namnayshka
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • Zhuraulik
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
×
×
  • Создать...