Решена Как удалить майнер Johne с ноутбука?

[kot875]

Доброго времени суток!
Есть подозрения на наличие майнера на ноутбуке: сильно шумят вентилляторы,несколько раз в день отвалиается интернет.
Пробовал запускать avbr.exe,было уведомление о майнере Johne,но после перезагрузки ноутбука шум остался.
Подскажите,пожалуйста,что нужно сделать,чтобы удалить майнер

 

[Sandor]

Здравствуйте!

Пробовал запускать avbr.exe

Покажите его отчёт в виде файла AV_block_remove_дата-время.log

Соберите арихв CollectionLog по правилам раздела - Правила оформления запроса о помощи

 

[kot875]

Прикрепляю логи
Перед запуском AutoLoggera отключил интернет

 

[Sandor]

сильно шумят вентилляторы

И сейчас тоже?

Немного "мусор" почистим:

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


"Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\Run: [Loudplay] = C:\Users\lkn_p\AppData\Local\Programs\loudplay\Loudplay.exe --hidden (file missing)
O4 - HKCU\..\Run: [RiotClient] = C:\Riot Games\Riot Client\RiotClientServices.exe --headless (file missing)
O4 - HKCU\..\Run: [utweb] = C:\Users\lkn_p\AppData\Roaming\uTorrent Web\utweb.exe /MINIMIZED (file missing)
O4 - HKCU\..\Run: [YandexDisk2] = C:\Users\lkn_p\AppData\Roaming\Yandex\YandexDisk2\3.2.19.4651\YandexDisk2.exe -autostart (file missing)

Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[kot875]

Вентилляторы периодически шумят,пофиксил строки.
Отчёты прикреплю

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a5299959-1895-11ed-9749-802bf98cfdc0}.TM.blf:54F1ABA3F0 [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a5299959-1895-11ed-9749-802bf98cfdc0}.TMContainer00000000000000000001.regtrans-ms:1FFD54662D [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{a5299959-1895-11ed-9749-802bf98cfdc0}.TMContainer00000000000000000002.regtrans-ms:FE50F442A8 [2594]
  AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [2594]
  AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Docker Desktop.lnk:CBB8C4555E [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller XI.lnk:8F41740D29 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat XI Pro.lnk:ABBE5C40B2 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe FormsCentral.lnk:09CB5F18F7 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection.lnk:DBB168297F [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[kot875]

Выполнил

 

[Sandor]

Проблема решена?

 

[kot875]

Когда смотрел фильм в браузере - шумели вентилляторы. Когда сейчас пишу сообщение - не шумят.Не знаю,должны ли они шуметь при нормальной работе.
Зашёл в яндекс дзен - зашумели,но не сильно

 

[Sandor]

Не исключаем того, что ноутбук нужно почистить от пыли физически, т.е. разобрать. Но если вы не знаете как это делается, лучше отнести в сервис.

Пока проделайте завершающие шаги и понаблюдайте:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.