Перейти к содержанию

[РЕШЕНО] Поймал майнер John


Рекомендуемые сообщения

Сергей Дальниченко
Опубликовано

Появился пользователь John. Появились сообщения в браузере "Out of memory", приходится все время перезагружать браузеры. В диспетчере задач большая нагрузка на видеопроцессор

Опубликовано
1 час назад, Сергей Дальниченко сказал:

Или нужно именно от AVZ?

Прикреплять нужно те логи, которые у Вас попросили. Если нужны будут дополнительные, Вам обэтом обязательно напишут.

Опубликовано

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Сергей Дальниченко
Опубликовано

Здравствуйте.

AV block remover не запускается. Выдает сообщение, что команду выполнить не удается из-за ограничений, действующих на этом компьютере

Сергей Дальниченко
Опубликовано

Пробовал. И в безопасном режиме пробовал. Все инструкции выполнял.

Опубликовано
  • Выделите следующий код:
  • Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
    HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\MountPoints2: {fef8f5e2-81b6-11ee-b0a7-f4b52024dc92} - "F:\SecureDrive.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {ADB9BAFE-DFF8-4562-B0AA-A13C29C1736E} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
    Task: {687EEF7A-FB5B-4A15-88E0-5CAB7892C6E4} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки пробуйте запустить AVbr в нормальном режиме.

Опубликовано
1 час назад, Sandor сказал:

пробуйте запустить AVbr в нормальном режиме.

И при успешном запуске:

27.04.2024 в 18:26, thyrex сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

Опубликовано

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O1 - Hosts: ::1 localhost
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\�������������
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

Далее, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • temw
      Автор temw
      доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
      мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
      ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
      upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 
      AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip
    • Ezikeil
      Автор Ezikeil
      В начале мая поймал майнер "John", блокировал доступ к AMD Software и нагружал видеокарту, почистил пк через: Dr.Web CurеIt!, kaspersky removal tool, Avz, AV block remover (AVbr) почистил вручную localhost, вручную удалял папки который майнер насоздавал в Program data и вроде как удалил майнер. Смущает что Avz ругается на перехватку каких то методов. 
      CollectionLog-2024.06.16-00.16.zip HiJackThis.log avz_log.txt Addition.txt FRST.txt
    • thealebs
      Автор thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ast_v
      Автор ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • GodHeaven
      Автор GodHeaven
      Выполнял проверку пк с помощью антивируса Bitdefender, он обнаружил около 7 вирусов и устранил их. Но обнаружил еще одну историю . Узнал что у меня на пк есть учетная запись John, прогуглив узнал что это сокрее всего майнер, учетка не удаляется антивирусом, стоит ли переживать и как это фиксить? Спасибо за ответ
×
×
  • Создать...