[РЕШЕНО] Недолеченный майнер John

[vasilvasilych]

Добрый день, уважаемые специалисты.

Поймал майнер - ноут стал тупить, мышка дергаться и периодически выскакивала некая ошибка, связанная с autoit.

Хотел поставить антивирус, удалось скачать дистрибутив, но установщик не запускался.

Погуглил симптомы - скачал AVBR, запустил - он удалил скрытого юзера john, лагов стало меньше, но дистрибутив kaspersky standart так и не ставится.

При этом kvrt запустился.

Прошу помочь при возможности.

Логи autologger прикладываю.

CollectionLog-2024.08.18-18.51.zip

[SQ]

Здравствуйте,
 

Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):
 

O22 - Tasks: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.MicrosoftEdge_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act /auto (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[thyrex]

+ лог работы AVBR тоже прикрепите к сообщению

 

 

 

[vasilvasilych]

Отмеченные строки в HijackThis "пофиксил".

Логи работы FRST прикладываю в архиве.

Также прикладываю логи запуска AVBR при первом запуске.

FRST_Addition.zip AV_block_remove_2024.08.04-20.53.log

[SQ]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
CloseProcesses:
S3 MpKsl6a2000d0; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{3D49CAA0-BEB4-44CE-9651-78BC2A933AF4}\MpKslDrv.sys [X]
Folder: C:\WINDOWS\ABR
Folder: C:\ProgramData\Kaspersky Lab Setup Files
Folder: C:\Program Files (x86)\Kaspersky Lab
File: C:\Windows\AAct_Tools\AAct_files\SECOPatcher.dll
FirewallRules: [UDP Query User{2D032583-2226-450A-9B69-60B9B43CD3F4}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{B1096C0D-73BB-41B0-8464-E5E070FA5829}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [UDP Query User{D37D219B-58EB-43D3-825A-A294CBC7BB25}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [TCP Query User{F6AF180C-BF15-4FB8-A5D4-AD961F3E4F84}C:\chrone\chrome.exe] => (Block) C:\chrone\chrome.exe => Нет файла
FirewallRules: [{A11A273D-18FD-48A7-83EE-980FEF5E80B3}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{24F580D2-C92A-43B0-8353-B06E0DC79E4A}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E7C2D0CF-4B64-492C-96FD-68501D86870C}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B07EEEE1-6BC0-47F0-A58F-6F4C39D7533D}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [UDP Query User{CA8A946C-DE5E-445F-B0E1-F50F99702E23}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [TCP Query User{8A93A85C-57EC-4A65-AF25-BF93D989AED8}C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\user\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[vasilvasilych]

Добрый день. Прикрепляю лог работы FRST после исправлений.

Fixlog.txt

[SQ]

Что с проблемой?

[vasilvasilych]

Дистрибутив kaspersky standart так и не хочет ставиться - при запуске установщика ничего не происходит, в диспетчере задач процесс быстро умирает.

И также наблюдаются подлагивания мышки, периодически случайные повторения нажатия левой кнопки. 

[SQ]

Попробуйте удалить остатки от предыдущих установок - kavremover.

Проверьте целостность системных файлов, для этого в командной строке cmd.exe выполните следующую команду:
 

sfc /scannow

Подробнее: Использование средства проверки системных файлов в Windows - Служба поддержки Майкрософт (microsoft.com)

[SQ]

Здравствуйте,

Сообщите, что с проблемой?

[SQ]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".