Перейти к содержанию
Правила раздела

[РЕШЕНО] Недолеченный майнер John

vasilvasilych

Автор vasilvasilych,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

vasilvasilych

vasilvasilych 0

Опубликовано
Опубликовано

Добрый день, уважаемые специалисты.

Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.

Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.

Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.

При этом kvrt запустился.

Прошу помочь при возможности.

Логи autologger прикладываю.

CollectionLog-2024.08.18-18.51.zip

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 784

Опубликовано
Опубликовано

Здравствуйте,
 

Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):
  

O22 - Tasks: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act /auto (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
vasilvasilych

vasilvasilych 0

Опубликовано
  • Автор
Опубликовано

Отмеченные строки в HijackThis "пофиксил".

Логи работы FRST прикладываю в архиве.

Также прикладываю логи запуска AVBR при первом запуске.

FRST_Addition.zip AV_block_remove_2024.08.04-20.53.log

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 784

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши  Копировать) 

Start::
CreateRestorePoint:
CloseProcesses:
S3 MpKsl6a2000d0; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{3D49CAA0-BEB4-44CE-9651-78BC2A933AF4}\MpKslDrv.sys [X]
Folder: C:\WINDOWS\ABR
Folder: C:\ProgramData\Kaspersky Lab Setup Files
Folder: C:\Program Files (x86)\Kaspersky Lab
File: C:\Windows\AAct_Tools\AAct_files\SECOPatcher.dll
FirewallRules: [UDP Query User{2D032583-2226-450A-9B69-60B9B43CD3F4}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{B1096C0D-73BB-41B0-8464-E5E070FA5829}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [UDP Query User{D37D219B-58EB-43D3-825A-A294CBC7BB25}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{F6AF180C-BF15-4FB8-A5D4-AD961F3E4F84}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [{A11A273D-18FD-48A7-83EE-980FEF5E80B3}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{24F580D2-C92A-43B0-8353-B06E0DC79E4A}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E7C2D0CF-4B64-492C-96FD-68501D86870C}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B07EEEE1-6BC0-47F0-A58F-6F4C39D7533D}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [UDP Query User{CA8A946C-DE5E-445F-B0E1-F50F99702E23}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [TCP Query User{8A93A85C-57EC-4A65-AF25-BF93D989AED8}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
vasilvasilych

vasilvasilych 0

Опубликовано
  • Автор
Опубликовано

Дистрибутив kaspersky standart так и не хочет ставиться - при запуске установщика ничего не происходит, в диспетчере задач процесс быстро умирает.

И также наблюдаются подлагивания мышки, периодически случайные повторения нажатия левой кнопки. 

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 784

Опубликовано
Опубликовано

Попробуйте удалить остатки от предыдущих установок - kavremover.

Проверьте целостность системных файлов, для этого в командной строке cmd.exe выполните следующую команду:
  

sfc /scannow

Подробнее: Использование средства проверки системных файлов в Windows - Служба поддержки Майкрософт (microsoft.com)

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
SQ

SQ 784

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • ANHIEL
      Не удаляется майнер
      От ANHIEL
      словил майнер сам восстанавливается после перезагрузки 
       
    • 18757
      не могу удалить майнер который выживает после сброса настроек до заводских изменяет процессы пк
      От 18757
      столкнулся с такой проблемой поймал майнер на пк были только игры и нечего важного поэтому сбросил до заводских настроек открываю диспечер задач и вижу нагрузку 60-80 процентов а через несколько секунд она падает до 5 если открыть диспечер задач и дерзать кнопки ctrl shift и esc то можно увидеть процессы например launch tm перешел во вкладку службы а там половина процессов остановленно и с ними нечего нельзя сделать скачал doktor web curelt ничего не нашел не знаю что делать заранее спасибо
    • Sozdati
      Вирус John или майнер не получается ликвидировать
      От Sozdati
      Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
      Тогда удалить не получилось, пришлось переустановить windows.
      И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
      Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt
      FRST.txt
    • Павел1247
      [РЕШЕНО] Не удаляется майнер updater.exe, нужен fixlist для FRST
      От Павел1247
      Сам восстанавливается майнер, нашел на форуме как его удалить с помощью FRST, но как я понимаю fixlist для каждого индивидуален, и мне нужна помощь с этим.
      Заранее спасибо.
      Addition.txt FRST.txt
    • Golem555
      Вирус Майнер
      От Golem555
      Здравствуйте!
      На моем компьютере обнаружено подозрительное ПО, предположительно майнер. Наблюдаю следующие симптомы на скриншоте это в спокойном режиме:

      Попробовал проверку Антивируса Malwarebytes, HitmanPro, не помогает. Пробовал переустанавливать винду, не помогает  
      Уже и не знаю что делать, ещё добавление: вирус маскируется под активные программы 
       
×
×
  • Создать...