Решена Майнер jhon 2

[tekken1671q]

Добрый день ! Заметил что стал греться ноутбук, после открывания диспетчера задач остывал. Начал углубляться в пробелу, нашел нового админа у себя в ноутбуке john. Полез в инет, узнал про этого майнреа, вначале пытался почистить dr webом, но неудачно. После отрыл другой комп дома и так же увидел этого пользователя. То есть у меня два компа и оба заражены, на одном он уже походу давно/ Вот Это данные второго компа.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe','');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
 QuarantineFile('c:\programdata\reaitekhd\taskhostw.exe','');
 DeleteFile('c:\programdata\reaitekhd\taskhostw.exe','32');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
end.
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 2
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks: Dragon_Center_updater - C:\ProgramData\MSI\Dragon Center\DragonCenter_Updater.exe DragonCenter (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[tekken1671q]

Всё сделал. Но скрытые папки john остались

 

[thyrex]

111 (S-1-5-21-1650433680-3849680591-65565640-1003 - Administrator - Enabled) => C:\Users\111
Valeriya (S-1-5-21-1650433680-3849680591-65565640-1001 - Administrator - Enabled) => C:\Users\Valeriya

оставьте только одного администратора

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Run: [YandexBrowserAutoLaunch_FCD4317AEEBA911A3F5821759B404EFF] => "C:\Users\Valeriya\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1650433680-3849680591-65565640-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
Task: {672426B3-A63B-48A7-8E0D-CB5A46DC749C} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1650433680-3849680591-65565640-1001 => C:\Users\111\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла)
Task: {69F1FF97-286F-4707-ADBF-BF3BCC492370} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
Task: {AFDD504B-E766-4941-B08D-8000A6285A34} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1650433680-3849680591-65565640-1001 => C:\Users\111\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла)
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
2023-04-22 12:13 - 2023-04-23 02:56 - 000000000 __SHD C:\AdwCleaner
2023-04-22 12:13 - 2023-04-23 01:49 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-04-22 12:13 - 2023-04-23 01:30 - 000000000 ___HD C:\ProgramData\Windows Tasks Service
2023-04-22 12:13 - 2023-04-22 12:13 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Norton
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\ESET
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\BookManager
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\360safe
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\ESET
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\COMODO
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\ByteFence
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\AVG
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files\7-Zip
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\Program Files (x86)\360
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\KVRT2020_Data
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 __SHD C:\KVRT_Data
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 ____D C:\WINDOWS\speechstracing
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 ____D C:\Users\Valeriya\AppData\Roaming\RMS_settings
2023-04-22 12:13 - 2023-04-22 12:13 - 000000000 ____D C:\ProgramData\Avira
2023-04-22 12:12 - 2023-04-23 13:05 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-04-22 12:12 - 2023-04-23 13:04 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-04-22 12:12 - 2023-04-23 01:52 - 000000000 __SHD C:\ProgramData\Setup
2023-04-22 12:12 - 2023-04-22 12:13 - 000000000 __SHD C:\ProgramData\Install
2023-04-22 12:12 - 2023-04-22 12:12 - 000000000 ___HD C:\Users\John
2023-04-22 12:12 - 2023-04-22 12:12 - 000000000 ____D C:\ProgramData\System32
2023-04-22 12:12 - 2023-04-22 12:12 - 000000000 ____D C:\ProgramData\RunDLL
CMD: net user John /delete
Unlock: C:\FRST
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [UDP Query User{250E2842-512E-4F35-BC94-7407AC62249B}C:\users\valeriya\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\valeriya\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [TCP Query User{5AD60EF2-3879-4626-8450-7046D8A1BB59}C:\users\valeriya\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\valeriya\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{19AFA2AE-A896-40F1-80FF-347446D0555D}C:\users\valeriya\mediaget2\mediaget.exe] => (Block) C:\users\valeriya\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{859055EB-48EF-431B-9996-6528EEA9C28B}C:\users\valeriya\mediaget2\mediaget.exe] => (Block) C:\users\valeriya\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{EF33F99A-A628-4D14-AFCB-D141CA1CEBB5}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [TCP Query User{2625088D-C470-41F8-B5BF-A09CD76A69F5}D:\games\worms wmd\game\worms w.m.d.exe] => (Block) D:\games\worms wmd\game\worms w.m.d.exe => Нет файла
FirewallRules: [UDP Query User{2309A6F1-D99B-4471-8363-9FDA62594B48}D:\games\worms wmd\game\worms w.m.d.exe] => (Block) D:\games\worms wmd\game\worms w.m.d.exe => Нет файла
FirewallRules: [TCP Query User{F1628A2F-C83F-4CCE-9056-678CD81E3A2C}C:\users\valeriya\mediaget2\mediaget.exe] => (Block) C:\users\valeriya\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{5B3E0F99-AE7A-45E6-8CF8-13CBCC3BE53C}C:\users\valeriya\mediaget2\mediaget.exe] => (Block) C:\users\valeriya\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{111270C8-4B7A-4C4D-AA85-CD46AE7AA25F}C:\users\valeriya\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\valeriya\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{3691F9DF-2226-42B4-BC09-08A9D8627960}C:\users\valeriya\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\valeriya\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [TCP Query User{B3E3205B-D5CD-4A90-B484-6BBF79FFA460}D:\games\worms wmd\game\worms w.m.d.exe] => (Block) D:\games\worms wmd\game\worms w.m.d.exe => Нет файла
FirewallRules: [UDP Query User{FFFC1A04-A8A2-45CE-94E0-E5280FDCF188}D:\games\worms wmd\game\worms w.m.d.exe] => (Block) D:\games\worms wmd\game\worms w.m.d.exe => Нет файла
FirewallRules: [TCP Query User{636D9AA4-CE36-416E-82C3-5B12D849C1F7}D:\games\assassins creed ii\assassinscreediigame.exe] => (Block) D:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [UDP Query User{DF950E97-09E2-4986-B09E-4257ED89A4FF}D:\games\assassins creed ii\assassinscreediigame.exe] => (Block) D:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [TCP Query User{D2088132-E619-408C-AC0F-51791DED9FD4}D:\games\assassins creed ii\assassinscreediigame.exe] => (Block) D:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [UDP Query User{F36EB2C5-CC1F-42A2-8C1A-8AA02C4BD8EE}D:\games\assassins creed ii\assassinscreediigame.exe] => (Block) D:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [{26E718A2-7CB5-4F81-A4F9-185D422BDD18}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{753B2F42-DE9B-4707-8886-E06A8D33B270}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{DCF1AF1C-236B-4C8B-8393-BDC4CF699AA1}] => (Block) LPort=445
FirewallRules: [{2295AB21-908C-453F-8486-C705950355D4}] => (Block) LPort=445
FirewallRules: [{02157135-4B1E-4CE7-885D-430A2F0EFD12}] => (Block) LPort=139
FirewallRules: [{AD71C131-CCCA-4638-A815-019D37B66402}] => (Block) LPort=139
FirewallRules: [{64EB5DA4-BAB6-45FD-A49F-55A510AACA25}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{FE1C1C7D-9E55-4D9D-B9A2-9FD147679391}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{11AB88DD-E74A-4230-AE06-66CE15DA9A5E}] => (Block) LPort=445
FirewallRules: [{7D7F22D4-45DD-4098-836D-2C5C6E401EFE}] => (Block) LPort=445
FirewallRules: [{DF7DBB84-39C3-4B86-9363-0A456E0345D6}] => (Block) LPort=139
FirewallRules: [{E434AA64-C420-4C84-8D8F-6C73C131C907}] => (Block) LPort=139
FirewallRules: [{5D4B727F-FC37-4B3C-9BAB-800D0E05F2BB}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{1808DEF4-A69F-455D-9265-B81B941C6E43}] => (Allow) LPort=3389
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[tekken1671q]

Сделал!

 

[akok]

Подготовьте свежий комплект логов FRST проверим, что осталось. Заодно проверяйте, что сейчас с проблемой.

 

[tekken1671q]

Проблемы вроде уже нет, сайты грузит, процессор спокоен, диспетчер задач не закрывается, этот "john" больше вроде нигде не мелькает. Комплект логов скину позже

 

[tekken1671q]

свежий комплект логов FRST

 

[akok]

Выглядит неплохо.
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки