Перейти к содержанию

[РЕШЕНО] Обнаружил пользователя john


Рекомендуемые сообщения

Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В крайнем случае запускайте из безопасного режима с поддержкой сети (5 или F5).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Соберите новые отчёты FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-4235247349-3713347038-2439816618-1000\...\MountPoints2: {214e643e-267b-11ea-9108-806e6f6e6963} - "E:\Run.exe" 
    Edge DefaultSearchURL: Default -> hxxps://chromeapps.site/torrentsearch/search.html?q={searchTerms}
    C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\khbokcdnjabjniiimkjdfhgnkccbkoah
    C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
    CHR DefaultSearchURL: Default -> hxxps://chromeapps.site/torrentsearch/search.html?q={searchTerms}
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\khbokcdnjabjniiimkjdfhgnkccbkoah
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AV: Norton Security (Enabled - Out of date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA}
    FW: Norton Security (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1}
    AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\User\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Исправьте по возможности:

 

Geeks3D FurMark 1.38.1.0 v.1.38.1.0 Внимание! Скачать обновления
Google Drive v.1.31.2873.2758 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
µTorrent v.3.6.0.47168 Внимание! Клиент сети P2P с рекламным модулем!.
 

---------------------------- [ UnwantedApps ] -----------------------------
Security Task Manager 2.0d v.2.0d Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • baobao
      Автор baobao
      Столкнулся с пользователем John, удалил его в меню netplwiz(win+r) но при проверке компьютера через Miner Searcher написано #Проверка пользователя John.(вирусы не обнаружены) он у меня уже был и пропал и снова появился только не могу понять как его удалить чтобы даже не упоминалось о нём
      вот лог AVBR И MINER SEARCHER
      AV_block_remove_2024.12.23-22.43.logMinerSearch_23.12.2024_22-49-46.log
    • TloBeJluTeJlb
      Автор TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • foroven
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Vlad Kirsanov
      Автор Vlad Kirsanov
      Я обнаружил майнер который блокирует ссылки под неким Google DNS, я скину log из программы AVBr, мне нужно помощь с удалением вирусом вот log с программы AVBR
      AV_block_remove_2025.03.17-14.55.log
    • nghtmrmdtrd
      Автор nghtmrmdtrd
      Сегодня утром обнаружил, что цп ноутбука уходит под 100%, как обычно решил проверить его через Dr.Web, сайт мнгновенно закрвается, старые .exe др веб в загрузках тоже были удалены, попробовал откат на 2 дня, не проконтролировал нехватку памяти после чего откат не удался, а когда зашел снова в точку возврата, было написано что контрольных точек на этом компьютере больше нет. При запуске в безопасном режиме появился пользователь john. Откатывать винду лень, есть решение без отката?
       
      Сообщение от модератора Mark D. Pearlstone Темы перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...