Решена Лечение системы после удаления майнера John с помощью AV_block_remove

Статус
В этой теме нельзя размещать новые ответы.
G

Grimherad

Новый пользователь
Сообщения
5
Реакции
0
Словил майнер, пару часов пытался "вылечить" его сам, очевидно ничего не получилось т.к. после перезагрузки компа все вернулось, заметил новую учетную запись John - после следовал инструкции из этого раздела AV block remover (AVbr)
Запустил компьютер в режиме безопасности с сетевыми драйверами, скачал отдельно, запустил - после проверки запустился в обычном режиме, и вот сейчас создаю тему. Перезагружаться не планирую, лог прикрепляю.
Буду очень признателен за помощь
 

Вложения

Еще прошелся по системе с помощью Dr.Web CureIt - 3 исправления

 

Вложения

Профиксите в HijackThis
Код: 
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O4 - MountPoints2: HKCU\..\{d0355c4e-f21d-11ec-9056-448a5ba388b2}\shell\AutoRun\command: (default) = G:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O23 - Driver R: (no name) - C:\Users\anyre\AppData\Local\Temp\7B3C3363-3D7672C9-1668DB7-F69D5E42\b5fee8e2.sys (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сначала пофиксил с помощью HijackThis описанные выше пункты, но только 3 из 4х - O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 - почему-то в списке не было (проверял несколько раз)
Сделал все дальше по инструкции - отчеты прикрепляю:
 

Вложения

HijackThis - скачивал последний билд (тестовую)
 
Плохого ничего не заметил. Можно немного ещё мусор почистить.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-712141081-1086298254-1092504540-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
FirewallRules: [{4D7E1600-E5B5-4BFA-9B6C-7B56F7F93A1E}] => (Allow) C:\Users\anyre\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{A890BC1A-42B7-4C0A-834D-7D897AF46417}] => (Allow) C:\Users\anyre\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{B64C91D9-26AB-4E61-8C04-3928F2DAD2FE}E:\games\divinity original sin 2 - definitive edition\bin\eocapp.exe] => (Allow) E:\games\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{C6E0C1D9-AA65-4474-AD13-10C808EC88A2}E:\games\divinity original sin 2 - definitive edition\bin\eocapp.exe] => (Allow) E:\games\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{6975CBE4-03C6-4EC8-8E4D-D5444A553FEC}F:\steamlibrary\steamapps\common\gears5\geargame\binaries\steam\gears5.exe] => (Allow) F:\steamlibrary\steamapps\common\gears5\geargame\binaries\steam\gears5.exe => Нет файла
FirewallRules: [UDP Query User{E11D1282-FF7D-4D14-8CF1-6E5C54EDD04D}F:\steamlibrary\steamapps\common\gears5\geargame\binaries\steam\gears5.exe] => (Allow) F:\steamlibrary\steamapps\common\gears5\geargame\binaries\steam\gears5.exe => Нет файла
FirewallRules: [TCP Query User{FC8386B5-1737-4C92-93D1-3C042A835CB7}E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{99D36F7D-6018-4E3B-BE27-279062508D97}E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{F8B8620B-1763-4B29-B8C0-38D10D5EDF1E}C:\crow\crowfallclient.exe] => (Allow) C:\crow\crowfallclient.exe => Нет файла
FirewallRules: [UDP Query User{B96A0700-7BCA-4CF9-970A-0F44AF0BA674}C:\crow\crowfallclient.exe] => (Allow) C:\crow\crowfallclient.exe => Нет файла
FirewallRules: [TCP Query User{40FF79F4-2517-4671-8501-E2FDA206640A}F:\games\age of empires iv\reliccardinal.exe] => (Allow) F:\games\age of empires iv\reliccardinal.exe => Нет файла
FirewallRules: [UDP Query User{94EDF9D3-5B5A-4817-82F1-17E615CC5480}F:\games\age of empires iv\reliccardinal.exe] => (Allow) F:\games\age of empires iv\reliccardinal.exe => Нет файла
FirewallRules: [TCP Query User{E5E01E78-FB36-4F56-8C5F-914134C5FCAB}F:\games\songs of conquest\songsofconquest.exe] => (Block) F:\games\songs of conquest\songsofconquest.exe => Нет файла
FirewallRules: [UDP Query User{40FAAC71-0F14-4CEE-A50A-6CDBA5F65C1D}F:\games\songs of conquest\songsofconquest.exe] => (Block) F:\games\songs of conquest\songsofconquest.exe => Нет файла
FirewallRules: [TCP Query User{3F68E648-FAE5-49B7-8E29-6A4DCF5F0656}D:\users\admin\appdata\local\discord\app-0.0.309\discord.exe] => (Allow) D:\users\admin\appdata\local\discord\app-0.0.309\discord.exe => Нет файла
FirewallRules: [UDP Query User{A869572E-3726-49F3-89D7-506C1DB31211}D:\users\admin\appdata\local\discord\app-0.0.309\discord.exe] => (Allow) D:\users\admin\appdata\local\discord\app-0.0.309\discord.exe => Нет файла
FirewallRules: [TCP Query User{F35BF8C3-71C7-4BC5-877D-0080579FBB35}F:\steamlibrary\steamapps\common\vrising\vrising_server\vrisingserver.exe] => (Allow) F:\steamlibrary\steamapps\common\vrising\vrising_server\vrisingserver.exe => Нет файла
FirewallRules: [UDP Query User{86FB8E58-FA5E-43D7-BA9A-D887A3505643}F:\steamlibrary\steamapps\common\vrising\vrising_server\vrisingserver.exe] => (Allow) F:\steamlibrary\steamapps\common\vrising\vrising_server\vrisingserver.exe => Нет файла
FirewallRules: [TCP Query User{79EBE880-D01D-4108-9185-280122F7DFA2}F:\steamlibrary\steamapps\common\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) F:\steamlibrary\steamapps\common\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{DC73DF35-02C5-42EB-AADD-DB46A926B5BD}F:\steamlibrary\steamapps\common\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) F:\steamlibrary\steamapps\common\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{98EC1F1B-6F1F-4F2E-BDBD-DAEAD0B121EE}F:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe] => (Allow) F:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe => Нет файла
FirewallRules: [UDP Query User{7ADB855E-3FAB-41B6-860C-0FB65DB47BDE}F:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe] => (Allow) F:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe => Нет файла
FirewallRules: [TCP Query User{66EBC33D-1AFE-4316-9E6B-53D72C3BEA56}F:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) F:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [UDP Query User{D9A49E16-1876-4814-9A0C-E9D7CE89BCFE}F:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) F:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [TCP Query User{BAC39069-CE3E-418F-A0C4-8FBA5D942BB6}F:\games\world_of_tanks_eu\win64\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_eu\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{11E6839F-2EC9-4C5A-A0C3-6CAFEF88E70E}F:\games\world_of_tanks_eu\win64\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_eu\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{E05A68B2-4D53-4797-84C4-9481D5D91A16}F:\steamlibrary\steamapps\common\conan exiles\conansandbox\binaries\win64\conansandbox.exe] => (Allow) F:\steamlibrary\steamapps\common\conan exiles\conansandbox\binaries\win64\conansandbox.exe => Нет файла
FirewallRules: [UDP Query User{C3805A33-68EE-4EDA-AE98-2400324034DA}F:\steamlibrary\steamapps\common\conan exiles\conansandbox\binaries\win64\conansandbox.exe] => (Allow) F:\steamlibrary\steamapps\common\conan exiles\conansandbox\binaries\win64\conansandbox.exe => Нет файла
FirewallRules: [{61EF2C01-965F-4AE6-A9FE-06E92D851F51}] => (Allow) F:\SteamLibrary\steamapps\common\Path of Exile\PathOfExileSteam.exe => Нет файла
FirewallRules: [{606B6ADF-8727-4BA6-9488-A37CFF5D7BA6}] => (Allow) F:\SteamLibrary\steamapps\common\Path of Exile\PathOfExileSteam.exe => Нет файла
FirewallRules: [{EEA504E3-0819-45DE-A300-637CECBBE35D}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
FirewallRules: [{DAF15E86-3D39-498C-882C-B7BFEB51F16C}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла

EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.


С наступающим вас :).
 
@Grimherad, прикрепите, пожалуйста, требуемые два отчёта и сообщите решена ли проблема.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается (и помечается решённой).
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

dmitriy
  • Закрыта
Решена лечение от вирусов из темы " две системы".
2
Ответы
35
Просмотры
8K
regist
regist
S
Решена Лечение майнера Realtek HD и других (?)
Ответы
7
Просмотры
309
Sandor
Sandor
prailda
  • Закрыта
Закрыто Лечение вирусов блокирующих работу ПК и выдающие права на подключение удаленного пользователя
Ответы
2
Просмотры
167
Sandor
Sandor
Назад
Сверху Снизу