Решена Как избавиться от майнера John?

[sasorisama55]

Добрый день, поймал майнер john, не открывался ни один антивирус и сайты с помощью в лечении вирусов, закрывался диспетчер задач после 4 минут работы, закрывалось окно gpedit.msc после очистки рог киллера открылся avbr, майнер вроде бы удалился, но не могли вы бы подсказать, нужно ли что-то ещё удалять? Логи с avbr и автовлогера вот. Заранее спасибо за ответ.

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 PPAPI
RogueKiller version 15.8.2.0
Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Stepan\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '');
 QuarantineFile('C:\Users\Stepan\AppData\Local\Temp\.CR.7763\Avira.Spotlight.Bootstrapper.Runner.exe', '');
 QuarantineFile('C:\Users\Stepan\AppData\Local\Temp\.CR.7763\avira_ru_sptl1_1262558336-1681334620__phpws.exe', '');
 DeleteSchedulerTask('Avira_Security_Installation');
 DeleteSchedulerTask('ProtectBrowser');
 DeleteFile('C:\Users\Stepan\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '64');
 DeleteFile('C:\Users\Stepan\AppData\Local\Temp\.CR.7763\Avira.Spotlight.Bootstrapper.Runner.exe', '64');
 DeleteFile('C:\Users\Stepan\AppData\Local\Temp\.CR.7763\avira_ru_sptl1_1262558336-1681334620__phpws.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_330_pepper.exe -check pepperplugin

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[sasorisama55]

Здравствуйте, вот отчет из утилиты и логи

 

[Sandor]

В целом - уже неплохо. Посмотрим ещё такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[sasorisama55]

Сделано

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1454062164-1046134565-1247174524-1001\...\MountPoints2: {8e2485f7-6fe0-11e9-933b-b8975a91c8ae} - "D:\setup.exe" 
  HKU\S-1-5-21-1454062164-1046134565-1247174524-1001\...\MountPoints2: {b0554d79-3226-11eb-953a-b8975a91c8ae} - "E:\setup.exe" 
  CHR HKU\S-1-5-21-1454062164-1046134565-1247174524-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  AlternateDataStreams: C:\WINDOWS\system32\.resume_file:0305169C17 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamViewer.lnk:C7FE7E9A98 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk:ACE144A8A7 [2586]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Stepan\Desktop\факс письмо.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\факс письмо.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  StartBatch:
    ECHO Y|CHKDSK C: /F
    pushd c:\windows\system32
    bcdedit.exe /set {default} recoveryenabled yes
  EndBatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
Во время перезагрузки будет запущена проверка и исправление ошибок диска, не прерывайте.

Подробнее читайте в этом руководстве.

 

[sasorisama55]

сделал

 

[akok]

Что с проблемой?

 

[sasorisama55]

Всё в порядке, спасибо вам, антивирус открывается, диспетчер задач не вылетает, все работает как надо

 

[akok]

Тогда завершающие шаги
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[sasorisama55]

Всё удалил, вот логи

 

[akok]

Исправьте, возможности, найденное.