[РЕШЕНО] Майнер John

[ast_v]

Последние две недели ноутбук очень сильно шумел, впервые появлялись синие экраны. С помощью AVbr удалила John, и еще был изменен файл hosts, но почитав форумы как поняла это не все. Доктор ве б сейчас не нашел угроз, но защитник виндовс что-то находил и потом файлы пропадали из результатов проверки. Как поняла вирус скачала вместе с активатором

CollectionLog-2024.09.18-11.44.zip

 

Сообщение от модератора kmscom

Тема перемещена из раздела Компьютерная помощь

 

[Sandor]

Здравствуйте!

 

27 минут назад, ast_v сказал:

С помощью AVbr удалила John

Если сохранился отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyMonic', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyMonic', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Деинсталлируйте бесполезный RogueKiller version 15.18.3.0

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[ast_v]

CollectionLog-2024.09.18-12.52.zip
Старый отчёт не сохранился

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ast_v]

FRST.txtAddition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327640 2024-09-18] (Google LLC -> Google Inc.) [Файл не подписан] <==== ВНИМАНИЕ
  C:\ProgramData\Google\Chrome\updater.exe
  AlternateDataStreams: C:\Windows\tracing:? [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ast_v]

Fixlog.txt

[Sandor]

Ещё один скрипт выполните:

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -Exclusion\Extension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ast_v]

Fixlog.txt

[Sandor]

Я допустил ошибку в скрипте. Попробуйте вручную убрать исключение для всех *.exe файлов.

 

Сообщите наблюдаются ли сейчас внешне проблемы (замедление работы, сёрфинг и т.п.)

[ast_v]

Исключение убрала, проблем пока не заметила

[Sandor]

Для верности сделайте проверку системы с помощью Malwarebytes и прикрепите отчёт.

[ast_v]

Malwarebytes Отчет о проверке 2024-09-18 112208.txt

[Sandor]

Удалять (помещать в карантин) ничего не нужно, реакция на торрент клиент и на подозрительные скачанные программы в папке Загрузки.

 

Завершаем:

 

1. Деинсталлируйте Malwarebytes.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ast_v]

Хорошо, сейчас сделаю, правда у меня еще вопрос мог ли заразиться переносной жесткий диск? Если да то как можно проверить?