Вирус John или майнер не получается ликвидировать

[Sozdati]

Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
Тогда удалить не получилось, пришлось переустановить windows.
И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt

FRST.txt

[thyrex]

Не видно по логам никакого майнера.

 

А вот места на системном диске уже маловато будет.

Цитата

Drive С: () (Fixed) (Total:116.31 GB) (Free:16.62 GB) (Model: INTEL SSDPEKNW512G8) NTFS

 

Malwarebytes version 4.6.17.334 удалите через Установку программ

 

Современные операционки сами могут монтировать виртуальные диски, поэтому наличие программ типа DAEMON Tools Ultra совершенно не нужно. Поэтому ее также под удаление.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла
C:\Users\Татьяна\Desktop\Internet-Start.lnk
C:\Users\Татьяна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet-Start.lnk
C:\Users\Татьяна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk
FirewallRules: [TCP Query User{AB0812CA-CA1A-42A0-9823-F4E0401D49F5}C:\program files\transmission\transmission-qt.exe] => (Allow) C:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [UDP Query User{122A320C-9FEE-4E07-ACF2-5DBE0EDADAAE}C:\program files\transmission\transmission-qt.exe] => (Allow) C:\program files\transmission\transmission-qt.exe => Нет файла
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: F - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: {10a8b077-dd20-11ee-8983-706655b8c3e8} - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: {14d295ef-de3d-11ee-8985-706655b8c3e8} - "H:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ВНИМАНИЕ (Доступ не разрешён)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [21480 2024-02-03] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [239568 2024-07-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
File: C:\Users\Татьяна\Downloads\SteamSetup.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Sozdati]

Сделано. Также наблюдается жесткая нагрузка на ЦП, очень сильно загружена работа железа. Ноутбук подвисает. В диспетчере задач резко пропадают некоторые процессы, как только его запускаю. Не могу их отследить. Fixlog.txt

[thyrex]

11 часов назад, Sozdati сказал:

И вот снова эта ерунда началась

случайно не после установки Eset Security 6 сентября все снова началось?

 

Ибо повторю еще раз: в логах никаких признаков майнера.

 

Transmission 4.0.5 (a6fe2a64aa) (x64)

удалите через Установку программ или принудительно с помощью Geek Uninstaller

[Sozdati]

6 минут назад, thyrex сказал:

случайно не после установки Eset Security 6 сентября все снова началось?

 

Ибо повторю еще раз: в логах никаких признаков майнера.

 

 

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Сделано. Нет, больше 2-х недель уже. 
Но с чем тогда связано очередное появление пользователя John на ПК и нагрузка ЦП и железа, а при включении диспетчера задач - резкое падение нагрузки с 50% до 2% и закрытие некоторых процессов. Обычно это первые признаки майнера.... Может быть его хвосты я подчистил несколько дней назад разными утилитами по типу minerSearch, а сам он где-то тихо сидит и зарабатывает на мне..(

[thyrex]

2 минуты назад, Sozdati сказал:

Но с чем тогда связано очередное появление пользователя John на ПК

нет такого пользователя в логах

 

3 минуты назад, Sozdati сказал:

закрытие некоторых процессов

каких, например? 

 

 

[Sozdati]

Не получается отследить, слишком быстро они пропадают. 
На скриншотах разница в пару секунд после включения диспетчера задач. Никаких программ не запущено.

Только что, Sozdati сказал:

Не получается отследить, слишком быстро они пропадают. 
На скриншотах разница в пару секунд после включения диспетчера задач. Никаких программ не запущено.
↓↓

Последовательность скриншотов только обратная, сначала 49% при включении диспетчера показывает.

[thyrex]

Кратковременная загрузка Диспетчера задач при открытии - вполне нормальное явление. Ему ведь требуются ресурсы для сбора информации о запущенных процессах.