Решена Как избавиться от майнера John и обезопасить систему от его влияния

[Игорь]

Прошу пособить в вычищении остатков если таковые остались.
Система Win10pro. Проявил себя закрывая процесс эксплорер, а в дальнейшем гугл хром при попытке найти лекарство. Был вылечен утилитой AVbr скачанной доунлоад мастером.
В системе стоит ESET Smart Security Premium который гад даже не моргнул! Но исправно работал и проводил проверки в плоть до момента перезагрузки в режим защиты от сбоев.
После исполнения скрипта в безопасном режиме антивирь пропал, хотя физически оставался в системе и что самое странное блокировал сам себе доступ в интернет а так же установщику своему.
Долгие танцы с бубном по его удалению все же закончились скачиванием спец утилиты с сайта производителя. Только после этого смог установить его заново.
НО полагаю хвосты "джона" остались. Прошу помочь их убить. А так же предотвратить появление в предь.

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('Temp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Был вылечен утилитой AVbr

Если сохранился её отчёт в виде файла AV_block_remove_дата-время.log, тоже прикрепите его.

 

[Игорь]

готово
AV_block_remove_дата-время.log насоздавал много, видимо не раз запускать пробовал

 

[Игорь]

Пропал сетевой доступ к расшаренным папкам для просмотра фильмов в домашней сети через SMB. Вроде фаервол не блокирует. Устройство видит нормально с ним общается

 

[Игорь]

По симптомам блокирован 455порт, вопрос как? файервол антивируса не блокирует (проверял отключив его вообще), брандмауэр винды отключен, групповых политик нет от слова совсем.....

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

IObit Unlocker

видимо не раз запускать пробовал

Достаточно было одного раза в безопасном.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Игорь]

Готово.
Подскажите каким скриптом можно восстановить доступ к расшаренным папкам? если вообще это блокировка.

 

[Sandor]

Посоветуйтесь в системном разделе. Ссылку на эту тему там укажите.

 

[Игорь]

осоветуйтесь в системном разделе. Ссылку на эту тему там укажите.

благодарю создал.

 

[akok]

По симптомам блокирован 455порт, вопрос как?

Он блокируется майнером, проверьте правила файрволла вручную и добавьте нужные правила. Заодно стоит пройтись по шагам когда подключали доступ, возможно некоторые настройки вернулись к заводским. А тут финализируем.

Кстати, пропал после использования утилиты или раньше?

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[Игорь]

Он блокируется майнером, проверьте правила файрволла вручную и добавьте нужные правила. Заодно стоит пройтись по шагам когда подключали доступ, возможно некоторые настройки вернулись к заводским. А тут финализируем.

Кстати, пропал после использования утилиты или раньше?

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Через 20 минут домой поеду сделаю все.

Кстати, пропал после использования утилиты или раньше?

Вот именно что сразу после использования. В это же время пропал и модуль антивируса тот что в трее всегда висит. Пробовал антивирус переустановить ругается что версия актуальная, начал его удалять ошибку выдает. С горем пополам
Revo Uninstaller, и утилитой производителя я его таки вычистил. Но до того момента после удаления его инсталлятор ругался что нет доступа в интернет. Хотя броузеры все работали. Только после отработки утилиты разработчика заработал установщик. Может это чем то поможет.
По поводу фаерволла, антивирус после применения он как я писал выше был удален, так что там все настройки с нуля произведены. Для папок снова прошелся по выдаче доступа, там изменений не было никаких.
может есть какая утилитка проверить кусты реестра где блокировка может присутствовать? Я знаю только про блокировку в политиках фаервола. НО его нет, а мой в антивирусе точно не учавствует в этом.

 

[Игорь]

ЛОГ

 

[Sandor]

По возможности исправьте:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.02 alpha (x64) v.21.02 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.19.6.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.37951 Внимание! Клиент сети P2P с рекламным модулем!.

 

[Игорь]

Это я все и без утилиты знаю. Незначительные моменты, UAC отключен пока идут проверки доступа. НО он пока увы не восстановлен

 

[akok]

Поэтому мы и пишем "по возможности" настройки системы должны подгоняться под пользователя, а не наоборот. Удачи!

 

[Игорь]

Понимаю. Спасибо большое за помощ!