Закрыто Ликвидация хвостов от John'a

[Le_Rane]

Доброго времени суток. Очень нужна ваша помощь, вчера словил майнер (так понимаю JOHN) скачав сами понимаете с каких ресурсов программу.
По симптомам:
1) Была нагрузка на процессор (пропадает при запуске диспетчера задач, который выключался через 3 минуты)
2) Появился профиль в учётных записях - John
3) Не возможно поставить антивирус, либо же они не могли затереть найденные тройаны
По итогу запустил через kaspersky live cd убил майнер вместе с его трояном другом (заработали сразу сайты антивирусов). Затем в через управление компьютером удалил "John". После через AVbr запустил проверку, по окончанию которой, были возвращены права на установку антивирусов и по ощущениям компьютер здоров. Но хотелось бы убедиться, что часики бегают без костылей . Надеюсь на помощь и прикрепляю логи по AVbr и FRST

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10
IObit Driver Booster 9.0.1.104

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1091513426-2705887795-3586575638-1001\...\MountPoints2: {3b2f6fd6-4baf-11ec-9613-4c1d966cb645} - "E:\Autorun.exe" 
  HKU\S-1-5-21-1091513426-2705887795-3586575638-1001\...\MountPoints2: {bc50f7b9-4c79-11ec-9622-4c1d966cb645} - "G:\MInstAll\MInst.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  BootExecute: autocheck autochk * sh4native 7099
  Task: {1D73B4FF-F1AE-475E-9222-5D72266B50F0} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {DDB9FC15-6F3B-4CFF-BBC5-188A2EB18B3C} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  AutoConfigURL: [{7A965E6C-5992-4249-8EC5-5D1D9D1CBAE1}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
  AlternateDataStreams: C:\Users\Le_Rane\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Le_Rane\AppData\Roaming:0648bfb67b9412d011bfb65ef865ad36 [394]
  AlternateDataStreams: C:\Users\Le_Rane\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\Le_Rane\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
  FirewallRules: [{5BB8A4FD-D59F-47F6-8E85-1CC5A34B615B}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

@Le_Rane, получилось выполнить рекомендации или помощь больше не нужна?

 

[Le_Rane]

@Le_Rane, получилось выполнить рекомендации или помощь больше не нужна?

Прошу прощения, никак не доберусь до компьютера с работой. Ближайшие дни продолжу. Сразу же отпишусь по результатам. Еще вопрос такой, если использую Firefox, все данные в нём сотрутся?

 

[Sandor]

если использую Firefox, все данные в нём сотрутся?

Никакие данные не сотрутся. Удалены безвозвратно будут только временные файлы, которые итак периодически удаляются.

 

[Sandor]

@Le_Rane, ждём продолжения.

 

[Le_Rane]

@Sandor при попытке удалить Driver Booster'ы

 

[Le_Rane]

Попытался удалить принудительно через Geek Ununstaller. В утилите пишет, что удалено, по факту все файлы на месте

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Le_Rane]

@Sandor Готово

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {1D766C3C-4F11-4C3D-9226-2F3A7CC1E024} - System32\Tasks\Driver Booster SkipUAC (banli) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [8279040 2021-10-26] (IObit) [Файл не подписан]
  Task: {398880EA-84F8-41DE-B96D-0E641FA60374} - System32\Tasks\SpyHunter4Startup => D:\SpyHunter 4.28.7.4850 RePack (& Portable) by TryRooM\SpyHunterPortable\App\SpyHunter\SpyHunter4.exe (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2023-03-25 19:42 - 2021-11-22 22:19 - 000000000 ____D C:\Users\Le_Rane\AppData\Roaming\IObit
  2023-02-25 13:38 - 2021-11-22 22:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Le_Rane]

Готово

 

[Sandor]

Хорошо, проблема решена?

 

[Le_Rane]

Хорошо, проблема решена?

Из списка установленных програм Driver Booster пропал, но на локальном диске, папки так и остались. При попытке затереть остатки вручную выдает (скрин*)

 

[Sandor]

Пробуйте их удалить в безопасном режиме.

 

[akok]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!