Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

[РЕШЕНО] Пожалуйста помогите удалить вирус Jhon.

Jack59

Автор Jack59,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Jack59

Jack59 1

Опубликовано
Опубликовано

Заметил у себя скрытого пользователя Jhon.
Во время игры часто тупит интернет, иногда когда вылезает ошибка подключения интернет полностью вырубается, и включается через минуту

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты
Jack59

Jack59 1

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

А какой программой лучше собрать лог?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Ссылка на сообщение
Поделиться на другие сайты
Jack59

Jack59 1

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

В AVbr надо выбирать диски для сканирования (по типу C или D)  или запустить с дефолтными настройками? 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Jack59

Jack59 1

Опубликовано
  • Автор
Опубликовано

AV_block_remove_2024.04.18-18.53.log 

 

 

4 часа назад, Sandor сказал:

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

Вы тут? я прикрепил лог

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано
15 часов назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Это сделайте, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
Jack59

Jack59 1

Опубликовано
  • Автор
Опубликовано
48 минут назад, Sandor сказал:

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Всё сделал по инструкцииAddition.txtFRST.txtClearLNK-2024.04.19_12.33.43.log

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Просьба - не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Деинсталлируйте нежелательное ПО: 

Bonjour
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2020379708-1947350443-1007290692-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [2594]
AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [2594]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TM.blf:9E93598F0C [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000001.regtrans-ms:CE6D670F21 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000002.regtrans-ms:20602BD3BB [2594]
AlternateDataStreams: C:\ProgramData\qdaliobv.akn:2F2C2390EA [2594]
AlternateDataStreams: C:\ProgramData\sokqucqi.nri:CFEA2D0235 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk:4BAE54BCF5 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELTARUNE.lnk:06292946D0 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
FirewallRules: [{5955F518-2D0D-467D-91BA-4F4903FA8DD6}] => (Allow) LPort=1900
FirewallRules: [{C11ACC7A-3CB4-4BA4-B651-321526E17B85}] => (Allow) LPort=2869
FirewallRules: [{0C157DE5-3B99-4359-80A2-2A0576A1681B}] => (Allow) LPort=1900
FirewallRules: [{416EA0A8-A181-4C57-9016-4FF4B0FDB68C}] => (Allow) LPort=2869
FirewallRules: [{F1E70A3D-B570-4F0A-ABE2-A1000CEB7325}] => (Allow) C:\Users\user\AppData\Local\Chromium\Application\chrome.exe => Нет файла
FirewallRules: [{F60874CF-D787-4EE2-B6C1-1EA492732BD0}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{26A73D1A-EFDF-4FF7-9DEE-FFA5CDAEEA07}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • kolaligo
      [РЕШЕНО] Поймал Майнер john после установки активатора
      От kolaligo
      Здравствуйте, поймал Майнер john после установки активатора, попробовал удалить сам через adv blocker, но нагрузка не пропала на компьютер
    • stnslv0
      Майнер маскируется под Explorer, в Anvivirus два проводника один из которых ест 30 цп при выключенном диспетчере задач
      От stnslv0
      CollectionLog-2024.05.13-09.26.zip
       


    • InMix
      Проверка Dr.Web CureIt!. удалила часть вирусов но не все
      От InMix
      Здравствуйте, помогите пожалуйста, проверился CureIt, был (Автопилот, майнер какой то к сожалению не сохранил..
      CollectionLog-2024.05.09-00.00.zip
    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
×
×
  • Создать...