Перейти к содержанию

Вирус John или майнер не получается ликвидировать


Рекомендуемые сообщения

Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
Тогда удалить не получилось, пришлось переустановить windows.
И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Не видно по логам никакого майнера.

 

А вот места на системном диске уже маловато будет.

Цитата

Drive С: () (Fixed) (Total:116.31 GB) (Free:16.62 GB) (Model: INTEL SSDPEKNW512G8) NTFS

 

Malwarebytes version 4.6.17.334 удалите через Установку программ

 

Современные операционки сами могут монтировать виртуальные диски, поэтому наличие программ типа DAEMON Tools Ultra совершенно не нужно. Поэтому ее также под удаление.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла
C:\Users\Татьяна\Desktop\Internet-Start.lnk
C:\Users\Татьяна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet-Start.lnk
C:\Users\Татьяна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk
FirewallRules: [TCP Query User{AB0812CA-CA1A-42A0-9823-F4E0401D49F5}C:\program files\transmission\transmission-qt.exe] => (Allow) C:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [UDP Query User{122A320C-9FEE-4E07-ACF2-5DBE0EDADAAE}C:\program files\transmission\transmission-qt.exe] => (Allow) C:\program files\transmission\transmission-qt.exe => Нет файла
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: F - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: {10a8b077-dd20-11ee-8983-706655b8c3e8} - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-1399187522-2970535621-793966070-1001\...\MountPoints2: {14d295ef-de3d-11ee-8985-706655b8c3e8} - "H:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ВНИМАНИЕ (Доступ не разрешён)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [21480 2024-02-03] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [239568 2024-07-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
File: C:\Users\Татьяна\Downloads\SteamSetup.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Сделано. Также наблюдается жесткая нагрузка на ЦП, очень сильно загружена работа железа. Ноутбук подвисает. В диспетчере задач резко пропадают некоторые процессы, как только его запускаю. Не могу их отследить. Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

11 часов назад, Sozdati сказал:

И вот снова эта ерунда началась

случайно не после установки Eset Security 6 сентября все снова началось?

 

Ибо повторю еще раз: в логах никаких признаков майнера.

 

Transmission 4.0.5 (a6fe2a64aa) (x64)

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, thyrex сказал:

случайно не после установки Eset Security 6 сентября все снова началось?

 

Ибо повторю еще раз: в логах никаких признаков майнера.

 

 

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Сделано. Нет, больше 2-х недель уже. 
Но с чем тогда связано очередное появление пользователя John на ПК и нагрузка ЦП и железа, а при включении диспетчера задач - резкое падение нагрузки с 50% до 2% и закрытие некоторых процессов. Обычно это первые признаки майнера.... Может быть его хвосты я подчистил несколько дней назад разными утилитами по типу minerSearch, а сам он где-то тихо сидит и зарабатывает на мне..(

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Sozdati сказал:

Но с чем тогда связано очередное появление пользователя John на ПК

нет такого пользователя в логах

 

3 минуты назад, Sozdati сказал:

закрытие некоторых процессов

каких, например? 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Не получается отследить, слишком быстро они пропадают. 
На скриншотах разница в пару секунд после включения диспетчера задач. Никаких программ не запущено.
image.thumb.png.adbbb455c753b59fb910550ce24a314c.pngimage.thumb.png.a3ee39dccbead885e8b81ab486273381.png

Только что, Sozdati сказал:

Не получается отследить, слишком быстро они пропадают. 
На скриншотах разница в пару секунд после включения диспетчера задач. Никаких программ не запущено.
image.thumb.png.adbbb455c753b59fb910550ce24a314c.pngimage.thumb.png.a3ee39dccbead885e8b81ab486273381.png

Последовательность скриншотов только обратная, сначала 49% при включении диспетчера показывает.

Ссылка на комментарий
Поделиться на другие сайты

Кратковременная загрузка Диспетчера задач при открытии - вполне нормальное явление. Ему ведь требуются ресурсы для сбора информации о запущенных процессах. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • Eugene_Konovalov
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • Adozel
      Автор Adozel
      В последнее время моргал монитор пк, что напрягло. Проверяла пк на вирусы через Dr.Web CureIt! обнаружил 3, которые сразу удалила. Проверяла после через Dr.Web CureIt! и вечером через kaspersky и больше ничего не нашлось. Напрягло, что иногда цп поднималось больше обычного в программах по типу word или играх в которых не повышалось так, как раньше. И повышается энергопотребление. Также заметила, что system съедает очень много трафика (подключение через кабеля). Если раньше он особо не превышал 1 гб, то сейчас 53 гб. Также диспетчер задач часто показывает долгие скачки интернета, хотя может открыта лишь одна вкладка хрома. Не уверена, что это именно, но может быть что-то серьезное?



      CollectionLog-2025.06.11-22.35.zip
    • Inkk
      Автор Inkk
      Заметил что на рабочем столе нагрузка цп стала подниматься до 41% что для моего ПК очень не типично, везде смотрел и как только начал интересоваться, начали закрываться программы, антивирус установить не могу, вирус прсото запрещает это сделать. Вкладки в браузере которы могут навредить вирусу так же закрываются. Полная проверка виндовс ничего не дала. Как его удалить? И что вообще делать? 
    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
×
×
  • Создать...