Решена Майнер John. Ликвидация хвостов

[romank]

Приветствую! Обнаружил у себя на ПК нового пользователя John. Заметил, что он заблокировал доступ к популярным антивирусам, исправил это в реестре. Провел проверку Win Защитником и Dr web. Через netplwiz удалил пользователя, но профиль John остался и виден при запуске ПК (хоть и через netplwiz его уже не видно). Воспользовался AVbr, вроде бы процессы прошли успешно, но пользователь John остался. Возможно где-то я что то упустил и сделал не корректно. Прошу помочь! Заранее благодарен

 

[akok]

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла


Запустите Autologger и прикрепите новый CollectionLog.

 

[romank]

Запустил AVbr в безопасном режиме с поддержкой сети.
Запустил autologger

 

[akok]

После проверяйте поведение системы


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = (no CLSID) - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Agent Activation Runtime (empty)

 

[romank]

Пофиксил в HijackThis, все строки присутствовали.
В целом система работает исправно. Разве что при входе в систему все так же отображается аккаунт John.

 

[Sandor]

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[romank]

Сканирование провел. Прикрепляю отчеты

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  CHR HomePage: Profile 1 -> hxxp://mail.ru/cnt/10445?gp=834408
  CHR DefaultSearchURL: Profile 1 -> hxxps://www.google.ru/search?newwindow=1&source=hp&ei=zvHyWbyyOKSn6ASIg43oCQ&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&q={searchTerms}&oq=cars+corona&gs_l=psy-ab.3..0i22i30k1l7j0i22i10i30k1j0i22i30k1l2.1465.8276.0.8573.13.12.1.0.0.0.142.1335.0j12.12.0....0...1.1.64.psy-ab..0.13.1338...0j0i131k1j0i10k1j0i19k1j0i22i30i19k1j0i22i10i30i19k1.0._hXD1QDtjU4
  AlternateDataStreams: C:\Users\roman\AppData\Local\Temp:$DATA [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

при входе в систему все так же отображается аккаунт John

Покажите скриншот или фото, пожалуйста.

 

[romank]

Выполнил скрипт через FRST от имени админа с отключенным антивирусом. Логи прилагаю.
Аккаунт John (после перезагрузки) все так же присутствует на ПК, фото прилагаю.

 

[Sandor]

А в Параметры - Учётные записи - Другие пользователи его видно или нет?
В командной строке выполните

net user

и покажите результат.

 

[romank]

Забавно, что в параметрах этого пользователя не видно. Как будто он где то в виде кэша остался или что то в этом духе. Запускал под админом

 

[Sandor]

Да, в логах тоже его не видно.
Попробуйте создать нового пользователя, затем удалить его.
Поиграйте в настройках "Параметры входа".

Проверим ещё дополнительно так:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[romank]

Попробовал создать нового пользователя (user1). При нажатии Пуск - Смена пользователя user 1 отображался. Пользователь John не отображался. Далее я удалил user 1. При перезагрузке опять же John присутствует и такое ощущение, что система по умолчанию пытается за него зайти как и было ранее (photo 1).

Сделал проверку через Malvarebytes - отчет прикрепляю.

 

[Sandor]

На проблему с юзером не повлияет, но очистите (поместите в карантин) всё найденное и перезагрузите компьютер.

 

[romank]

Поместил в карантин и перезагрузил.
Помимо юзера пока ничего подозрительного не замечаю, но надеюсь решение найдется.

В любом случае очень благодарен за помощь!

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[romank]

Удалил старые логи, провел сканирование, логи прилагаю.

 

[Sandor]

Спасибо, некоторое время подождите, пожалуйста.

 

[Sandor]

Создайте новую контрольную точку.

Скачайте вложенный архив, распакуйте его. Запустите и согласитесь с внесением изменений в реестр.
Перезагрузите компьютер и проверьте.

 

[romank]

Создал контрольную точку.
Запустил файл из архива, перезагрузил и это помогло! Пользователь John больше не появляется при входе в систему.

Огромное спасибо Вам за помощь!