Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

[РЕШЕНО] Недолеченный майнер John

vasilvasilych

От vasilvasilych
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

vasilvasilych Новичок

vasilvasilych

Опубликовано
Опубликовано

Добрый день, уважаемые специалисты.

Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.

Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.

Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.

При этом kvrt запустился.

Прошу помочь при возможности.

Логи autologger прикладываю.

CollectionLog-2024.08.18-18.51.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,
 

Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):
  

O22 - Tasks: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act /auto (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
vasilvasilych Новичок

vasilvasilych

Опубликовано
  • Автор
Опубликовано

Отмеченные строки в HijackThis "пофиксил".

Логи работы FRST прикладываю в архиве.

Также прикладываю логи запуска AVBR при первом запуске.

FRST_Addition.zip AV_block_remove_2024.08.04-20.53.log

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши  Копировать) 

Start::
CreateRestorePoint:
CloseProcesses:
S3 MpKsl6a2000d0; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{3D49CAA0-BEB4-44CE-9651-78BC2A933AF4}\MpKslDrv.sys [X]
Folder: C:\WINDOWS\ABR
Folder: C:\ProgramData\Kaspersky Lab Setup Files
Folder: C:\Program Files (x86)\Kaspersky Lab
File: C:\Windows\AAct_Tools\AAct_files\SECOPatcher.dll
FirewallRules: [UDP Query User{2D032583-2226-450A-9B69-60B9B43CD3F4}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{B1096C0D-73BB-41B0-8464-E5E070FA5829}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [UDP Query User{D37D219B-58EB-43D3-825A-A294CBC7BB25}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{F6AF180C-BF15-4FB8-A5D4-AD961F3E4F84}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [{A11A273D-18FD-48A7-83EE-980FEF5E80B3}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{24F580D2-C92A-43B0-8353-B06E0DC79E4A}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E7C2D0CF-4B64-492C-96FD-68501D86870C}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B07EEEE1-6BC0-47F0-A58F-6F4C39D7533D}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [UDP Query User{CA8A946C-DE5E-445F-B0E1-F50F99702E23}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [TCP Query User{8A93A85C-57EC-4A65-AF25-BF93D989AED8}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
vasilvasilych Новичок

vasilvasilych

Опубликовано
  • Автор
Опубликовано

Дистрибутив kaspersky standart так и не хочет ставиться - при запуске установщика ничего не происходит, в диспетчере задач процесс быстро умирает.

И также наблюдаются подлагивания мышки, периодически случайные повторения нажатия левой кнопки. 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Попробуйте удалить остатки от предыдущих установок - kavremover.

Проверьте целостность системных файлов, для этого в командной строке cmd.exe выполните следующую команду:
  

sfc /scannow

Подробнее: Использование средства проверки системных файлов в Windows - Служба поддержки Майкрософт (microsoft.com)

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • thealebs
      [РЕШЕНО] Майнер John
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • slimy371
      Вирус (майнер) John
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • ast_v
      [РЕШЕНО] Майнер John
      От ast_v
      Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором
      CollectionLog-2024.09.18-11.44.zip
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
×
×
  • Создать...