Перейти к содержанию
Правила раздела

[РЕШЕНО] Пожалуйста помогите удалить вирус Jhon.

Jack59

Автор Jack59
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jack59

Jack59

Опубликовано
Опубликовано

Заметил у себя скрытого пользователя Jhon.
Во время игры часто тупит интернет, иногда когда вылезает ошибка подключения интернет полностью вырубается, и включается через минуту

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

А какой программой лучше собрать лог?

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

В AVbr надо выбирать диски для сканирования (по типу C или D)  или запустить с дефолтными настройками? 

Sandor

Sandor

Опубликовано
Опубликовано

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

  • Like (+1) 1
Jack59

Jack59

Опубликовано
  • Автор
Опубликовано

AV_block_remove_2024.04.18-18.53.log 

 

 

4 часа назад, Sandor сказал:

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

Вы тут? я прикрепил лог

 

Sandor

Sandor

Опубликовано
Опубликовано
15 часов назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Это сделайте, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
48 минут назад, Sandor сказал:

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Всё сделал по инструкцииAddition.txtFRST.txtClearLNK-2024.04.19_12.33.43.log

Sandor

Sandor

Опубликовано
Опубликовано

Просьба - не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Деинсталлируйте нежелательное ПО: 

Bonjour
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2020379708-1947350443-1007290692-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [2594]
AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [2594]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TM.blf:9E93598F0C [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000001.regtrans-ms:CE6D670F21 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000002.regtrans-ms:20602BD3BB [2594]
AlternateDataStreams: C:\ProgramData\qdaliobv.akn:2F2C2390EA [2594]
AlternateDataStreams: C:\ProgramData\sokqucqi.nri:CFEA2D0235 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk:4BAE54BCF5 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELTARUNE.lnk:06292946D0 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
FirewallRules: [{5955F518-2D0D-467D-91BA-4F4903FA8DD6}] => (Allow) LPort=1900
FirewallRules: [{C11ACC7A-3CB4-4BA4-B651-321526E17B85}] => (Allow) LPort=2869
FirewallRules: [{0C157DE5-3B99-4359-80A2-2A0576A1681B}] => (Allow) LPort=1900
FirewallRules: [{416EA0A8-A181-4C57-9016-4FF4B0FDB68C}] => (Allow) LPort=2869
FirewallRules: [{F1E70A3D-B570-4F0A-ABE2-A1000CEB7325}] => (Allow) C:\Users\user\AppData\Local\Chromium\Application\chrome.exe => Нет файла
FirewallRules: [{F60874CF-D787-4EE2-B6C1-1EA492732BD0}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{26A73D1A-EFDF-4FF7-9DEE-FFA5CDAEEA07}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано

а зачем копировать текст если по инструкции его никуда вставлять не надо?

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      Автор Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      Автор Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • ggruzin
      [РЕШЕНО] Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
×
×
  • Создать...