Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер John

Сергей Дальниченко

От Сергей Дальниченко
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Сергей Дальниченко Новичок

Сергей Дальниченко

Опубликовано
Опубликовано

Появился пользователь John. Появились сообщения в браузере "Out of memory", приходится все время перезагружать браузеры. В диспетчере задач большая нагрузка на видеопроцессор

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
1 час назад, Сергей Дальниченко сказал:

Или нужно именно от AVZ?

Прикреплять нужно те логи, которые у Вас попросили. Если нужны будут дополнительные, Вам обэтом обязательно напишут.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Дальниченко Новичок

Сергей Дальниченко

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

AV block remover не запускается. Выдает сообщение, что команду выполнить не удается из-за ограничений, действующих на этом компьютере

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Выделите следующий код: 
  • Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\MountPoints2: {fef8f5e2-81b6-11ee-b0a7-f4b52024dc92} - "F:\SecureDrive.exe" 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {ADB9BAFE-DFF8-4562-B0AA-A13C29C1736E} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {687EEF7A-FB5B-4A15-88E0-5CAB7892C6E4} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки пробуйте запустить AVbr в нормальном режиме.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

пробуйте запустить AVbr в нормальном режиме.

И при успешном запуске:

27.04.2024 в 18:26, thyrex сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O1 - Hosts: ::1 localhost
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\�������������
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

Далее, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • thealebs
      [РЕШЕНО] Майнер John
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ast_v
      [РЕШЕНО] Майнер John
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vasilvasilych
      [РЕШЕНО] Недолеченный майнер John
      От vasilvasilych
      Добрый день, уважаемые специалисты.
      Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.
      Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.
      Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.
      При этом kvrt запустился.
      Прошу помочь при возможности.
      Логи autologger прикладываю.
      CollectionLog-2024.08.18-18.51.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
×
×
  • Создать...