Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 

AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [vmware-tray.exe] => "F:\vmware\vmware-tray.exe" (Нет файла)
S2 VMAuthdService; F:\vmware\vmware-authd.exe [X]
S3 VmwareAutostartService; F:\vmware\vmware-autostart.exe [X]
2024-06-16 09:09 C:\Program Files\ReasonLabs
2024-06-16 09:09 C:\Program Files (x86)\Wise
CustomCLSID: HKU\S-1-5-21-939497651-642392627-587770878-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\temwbothu\AppData\Local\Microsoft\OneDrive\24.108.0528.0005\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-939497651-642392627-587770878-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\temwbothu\AppData\Local\Microsoft\OneDrive\24.108.0528.0005\FileCoAuth.exe" => Нет файла
FirewallRules: [TCP Query User{9711DFFD-0403-4B5E-BD1A-201737FE7BDF}F:\counter strike 1.6\cs.exe] => (Allow) F:\counter strike 1.6\cs.exe => Нет файла
FirewallRules: [UDP Query User{37FE1FCC-7C63-48D9-BBD1-A01168C962F1}F:\counter strike 1.6\cs.exe] => (Allow) F:\counter strike 1.6\cs.exe => Нет файла
FirewallRules: [TCP Query User{655600EB-BD2D-4E05-B8BE-88944B0459E0}D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe] => (Allow) D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe => Нет файла
FirewallRules: [UDP Query User{8AE0046B-C3EB-4067-B280-9A7C0A02AEAA}D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe] => (Allow) D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe => Нет файла
FirewallRules: [{4982CEF3-8BB2-42B2-84D7-1364F4330CB1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E4AF6B76-044A-4B83-8A24-112ECC9DAAEB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C8508591-4223-4EF2-8305-16159EF94019}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0761BD5A-9AA2-4326-8801-2AF34E68C83A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2C700BD7-4E2F-4645-A306-5BB061E7A1A3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5CC1F8E6-EBA2-40D9-A5F4-5EAEF5DB29CD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{00F9BA83-6BFB-435F-A554-ECE9BD72EDC7}] => (Allow) F:\vmware\vmware-authd.exe => Нет файла
FirewallRules: [{3DD864E0-2E11-4116-820B-739837AACD15}] => (Allow) F:\vmware\vmware-authd.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Опубликовано

По возможности исправьте указанное

 

Oracle VM VirtualBox 6.1.48 v.6.1.48 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.28.0.412 v.3.28.0.412 Внимание! Скачать обновления
Wireshark 3.0.6 64-bit v.3.0.6 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
7-Zip 24.06 (x64) v.24.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
OpenVPN 2.6.10-I003 amd64 v.2.6.1003 Внимание! Скачать обновления
 

и на этом закончим.
 

Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Antoney
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • searing
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
×
×
  • Создать...