Перейти к содержанию
Правила раздела

[РЕШЕНО] Пожалуйста помогите удалить вирус Jhon.

Jack59

Автор Jack59
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jack59

Jack59

Опубликовано
Опубликовано

Заметил у себя скрытого пользователя Jhon.
Во время игры часто тупит интернет, иногда когда вылезает ошибка подключения интернет полностью вырубается, и включается через минуту

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Если не получится, соберите архив CollectionLog в безопасном режиме.

Новую тему создавать не нужно, продолжайте здесь.

А какой программой лучше собрать лог?

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).
 

В AVbr надо выбирать диски для сканирования (по типу C или D)  или запустить с дефолтными настройками? 

Sandor

Sandor

Опубликовано
Опубликовано

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

  • Like (+1) 1
Jack59

Jack59

Опубликовано
  • Автор
Опубликовано

AV_block_remove_2024.04.18-18.53.log 

 

 

4 часа назад, Sandor сказал:

Нет, ничего выбирать не нужно, делайте только то, что пишется в рекомендациях.

Вы тут? я прикрепил лог

 

Sandor

Sandor

Опубликовано
Опубликовано
15 часов назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Это сделайте, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано
48 минут назад, Sandor сказал:

Продолжаем.

 

1. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) C:\Windows\System32\Tasks\SynHelper (empty)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-N5441JQ\john
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Всё сделал по инструкцииAddition.txtFRST.txtClearLNK-2024.04.19_12.33.43.log

Sandor

Sandor

Опубликовано
Опубликовано

Просьба - не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Деинсталлируйте нежелательное ПО: 

Bonjour
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2020379708-1947350443-1007290692-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [2594]
AlternateDataStreams: C:\ProgramData\lzmiudcz.flf:B96BCC688C [2594]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TM.blf:9E93598F0C [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000001.regtrans-ms:CE6D670F21 [2594]
AlternateDataStreams: C:\ProgramData\ntuser.dat{5eb1819f-a1a7-11eb-9007-1c1b0d486b20}.TMContainer00000000000000000002.regtrans-ms:20602BD3BB [2594]
AlternateDataStreams: C:\ProgramData\qdaliobv.akn:2F2C2390EA [2594]
AlternateDataStreams: C:\ProgramData\sokqucqi.nri:CFEA2D0235 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk:4BAE54BCF5 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELTARUNE.lnk:06292946D0 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
FirewallRules: [{5955F518-2D0D-467D-91BA-4F4903FA8DD6}] => (Allow) LPort=1900
FirewallRules: [{C11ACC7A-3CB4-4BA4-B651-321526E17B85}] => (Allow) LPort=2869
FirewallRules: [{0C157DE5-3B99-4359-80A2-2A0576A1681B}] => (Allow) LPort=1900
FirewallRules: [{416EA0A8-A181-4C57-9016-4FF4B0FDB68C}] => (Allow) LPort=2869
FirewallRules: [{F1E70A3D-B570-4F0A-ABE2-A1000CEB7325}] => (Allow) C:\Users\user\AppData\Local\Chromium\Application\chrome.exe => Нет файла
FirewallRules: [{F60874CF-D787-4EE2-B6C1-1EA492732BD0}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{26A73D1A-EFDF-4FF7-9DEE-FFA5CDAEEA07}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Jack59

Jack59

Опубликовано
  • Автор
Опубликовано

а зачем копировать текст если по инструкции его никуда вставлять не надо?

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • Jack59
      [РЕШЕНО] Интернет сильно просел и зависает
      Автор Jack59
      3 дня назад поймал вирус, из-за которого невозможно сидеть в звонках или просто играть. Подумал что это вирус из-за того что не даёт скачать HijackThis и SpyDllRemover, а всё остальное медленно но качается. Сканировал Dr.Wev Cureit и Malwarebytes но четно...  (Тормозит только на ПК, на телефоне на той же сети всё прекрасно) 
×
×
  • Создать...