Перейти к содержанию
Правила раздела

[РЕШЕНО] майнер john

temw

Автор temw
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

temw

temw

Опубликовано
Опубликовано

доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 

AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [vmware-tray.exe] => "F:\vmware\vmware-tray.exe" (Нет файла)
S2 VMAuthdService; F:\vmware\vmware-authd.exe [X]
S3 VmwareAutostartService; F:\vmware\vmware-autostart.exe [X]
2024-06-16 09:09 C:\Program Files\ReasonLabs
2024-06-16 09:09 C:\Program Files (x86)\Wise
CustomCLSID: HKU\S-1-5-21-939497651-642392627-587770878-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\temwbothu\AppData\Local\Microsoft\OneDrive\24.108.0528.0005\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-939497651-642392627-587770878-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\temwbothu\AppData\Local\Microsoft\OneDrive\24.108.0528.0005\FileCoAuth.exe" => Нет файла
FirewallRules: [TCP Query User{9711DFFD-0403-4B5E-BD1A-201737FE7BDF}F:\counter strike 1.6\cs.exe] => (Allow) F:\counter strike 1.6\cs.exe => Нет файла
FirewallRules: [UDP Query User{37FE1FCC-7C63-48D9-BBD1-A01168C962F1}F:\counter strike 1.6\cs.exe] => (Allow) F:\counter strike 1.6\cs.exe => Нет файла
FirewallRules: [TCP Query User{655600EB-BD2D-4E05-B8BE-88944B0459E0}D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe] => (Allow) D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe => Нет файла
FirewallRules: [UDP Query User{8AE0046B-C3EB-4067-B280-9A7C0A02AEAA}D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe] => (Allow) D:\farm together 2\farm.together.2.build.10062024-ofme\farm together 2\farmtogether2.exe => Нет файла
FirewallRules: [{4982CEF3-8BB2-42B2-84D7-1364F4330CB1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E4AF6B76-044A-4B83-8A24-112ECC9DAAEB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C8508591-4223-4EF2-8305-16159EF94019}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0761BD5A-9AA2-4326-8801-2AF34E68C83A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2C700BD7-4E2F-4645-A306-5BB061E7A1A3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5CC1F8E6-EBA2-40D9-A5F4-5EAEF5DB29CD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{00F9BA83-6BFB-435F-A554-ECE9BD72EDC7}] => (Allow) F:\vmware\vmware-authd.exe => Нет файла
FirewallRules: [{3DD864E0-2E11-4116-820B-739837AACD15}] => (Allow) F:\vmware\vmware-authd.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте указанное

 

Oracle VM VirtualBox 6.1.48 v.6.1.48 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.28.0.412 v.3.28.0.412 Внимание! Скачать обновления
Wireshark 3.0.6 64-bit v.3.0.6 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
7-Zip 24.06 (x64) v.24.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
OpenVPN 2.6.10-I003 amd64 v.2.6.1003 Внимание! Скачать обновления
 

и на этом закончим.
 

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
×
×
  • Создать...