[РЕШЕНО] Обнаружил пользователя john

[Fara]

Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.

[Fara]

FRST.txtAddition.txt

[Sandor]

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В крайнем случае запускайте из безопасного режима с поддержкой сети (5 или F5).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

[Fara]

AV_block_remove_2024.12.27-20.54.logпрограмма перезагружается только в безопасном режиме. и после переход в обычный режим удаляется его .exe

[Fara]

прошу прощение за мою безграмотность 

CollectionLog-2024.12.28-11.21.zip

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Соберите новые отчёты FRST.txt и Addition.txt

[Fara]

ClearLNK-2024.12.28_15.06.44.log

 

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-4235247349-3713347038-2439816618-1000\...\MountPoints2: {214e643e-267b-11ea-9108-806e6f6e6963} - "E:\Run.exe" 
  Edge DefaultSearchURL: Default -> hxxps://chromeapps.site/torrentsearch/search.html?q={searchTerms}
  C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\khbokcdnjabjniiimkjdfhgnkccbkoah
  C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
  CHR DefaultSearchURL: Default -> hxxps://chromeapps.site/torrentsearch/search.html?q={searchTerms}
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\khbokcdnjabjniiimkjdfhgnkccbkoah
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AV: Norton Security (Enabled - Out of date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA}
  FW: Norton Security (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1}
  AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Fara]

Fixlog.txt

[Sandor]

Хорошо. Что с проблемой?

[Fara]

Проблема вроде как  решена. Перезагрузки прекратились, пользователя jona нет, заметно ускорился. Огромное спасибо!

[Sandor]

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Fara]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Geeks3D FurMark 1.38.1.0 v.1.38.1.0 Внимание! Скачать обновления
Google Drive v.1.31.2873.2758 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
µTorrent v.3.6.0.47168 Внимание! Клиент сети P2P с рекламным модулем!.
 

---------------------------- [ UnwantedApps ] -----------------------------
Security Task Manager 2.0d v.2.0d Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Читайте Рекомендации после удаления вредоносного ПО

[Fara]

Еще раз огромное спасибо