Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Пожалуйста помогите удалить вирус Jhon.

Jack59

Автор Jack59
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jack59 Новичок

Jack59

Опубликовано
Опубликовано

Заметил у себя скрытого пользователя Jhon.
Во время игры часто тупит интернет, иногда когда вылезает ошибка подключения интернет полностью вырубается, и включается через минуту

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты
Jack59 Новичок

Jack59

Опубликовано
  • Автор
Опубликовано
  В 18.04.2024 в 09:17, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Показать  

А какой программой лучше собрать лог?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Ссылка на комментарий
Поделиться на другие сайты
Jack59 Новичок

Jack59

Опубликовано
  • Автор
Опубликовано
  В 18.04.2024 в 13:48, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Показать  

В AVbr надо выбирать диски для сканирования (по типу C или D)  или запустить с дефолтными настройками? 

Ссылка на комментарий
Поделиться на другие сайты
Jack59 Новичок

Jack59

Опубликовано
  • Автор
Опубликовано

AV_block_remove_2024.04.18-18.53.logПолучение информации...  

 

 

  В 18.04.2024 в 13:56, Sandor сказал:

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

Показать  

Вы тут? я прикрепил лог

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  В 18.04.2024 в 13:48, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Показать  

Это сделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

  Цитата

...\AutoLogger\CheckBrowserLnk

Показать  

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
Jack59 Новичок

Jack59

Опубликовано
  • Автор
Опубликовано
  В 19.04.2024 в 07:26, Sandor сказал:

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Показать  

Всё сделал по инструкцииAddition.txtFRST.txtClearLNK-2024.04.19_12.33.43.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Просьба - не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Деинсталлируйте нежелательное ПО: 

Bonjour
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2020379708-1947350443-1007290692-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [2594]
AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [2594]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TM.blf:9E93598F0C [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000001.regtrans-ms:CE6D670F21 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000002.regtrans-ms:20602BD3BB [2594]
AlternateDataStreams: C:\ProgramData\qdaliobv.akn:2F2C2390EA [2594]
AlternateDataStreams: C:\ProgramData\sokqucqi.nri:CFEA2D0235 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk:4BAE54BCF5 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELTARUNE.lnk:06292946D0 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
FirewallRules: [{5955F518-2D0D-467D-91BA-4F4903FA8DD6}] => (Allow) LPort=1900
FirewallRules: [{C11ACC7A-3CB4-4BA4-B651-321526E17B85}] => (Allow) LPort=2869
FirewallRules: [{0C157DE5-3B99-4359-80A2-2A0576A1681B}] => (Allow) LPort=1900
FirewallRules: [{416EA0A8-A181-4C57-9016-4FF4B0FDB68C}] => (Allow) LPort=2869
FirewallRules: [{F1E70A3D-B570-4F0A-ABE2-A1000CEB7325}] => (Allow) C:\Users\user\AppData\Local\Chromium\Application\chrome.exe => Нет файла
FirewallRules: [{F60874CF-D787-4EE2-B6C1-1EA492732BD0}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{26A73D1A-EFDF-4FF7-9DEE-FFA5CDAEEA07}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qqjwjjj
      Помогите удалить вирусы
      Автор qqjwjjj
      Когда я сегодня проснулся я увидел что у иконок на рабочем столе нет названий и через какое-то время они появились потом я увидел что с права снизу у меня нет времени и ещё когда я зашёл в проводник там всё было без названий и ещё у меня не работает кнопка пуск и поисковая строка и когда я пытался скачать dr web у меня выходила ошибка у меня сейчас 360 security я им сканировал на вирусы несколько раз и не чего не помогало перезагружал компьютер и не чего переустановить виндоус не могу флешки нету
    • ggruzin
      Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      Автор Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • itriedsohard
      [РЕШЕНО] Подскажите, пожалуйста, как удалить вирус (троян, майнер) с ноутбука.
      Автор itriedsohard
      Недавно подловил при скачке множеста файлов с неизвестных источников и наловил вирусов. Вирус блокирует установку любого антивируса (Malwerbytes, 360 total sec, ESET, Avast, так же некторые утилиты как RogueKiller). Блокировал возможность восстановление через точки восстановления но по гайдам на ютубе удалось это разблокировать - не помогло. В безопасном режиме всё ещё нельзя установить никакой антивирус. Блокировки каких то сайтов со стороны вируса не увидел, заметил только небольшое падение FPS в играх. AutoLogger репорт прикрепил. Очень надеюсь на вашу помощь!




      CollectionLog-2025.03.02-02.47.zip
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
×
×
  • Создать...