Решена Майнер John, помогите, пожалуйста.

Статус
В этой теме нельзя размещать новые ответы.

Dema32

Новый пользователь
Сообщения
9
Реакции
1
Здравствуйте, после установки не лицензионной игры компьютер стал использовать ЦП на 100 процентов и появилась новая учётная запись John. При любой попытке скачать антивирус и подобном вылетает браузер, также не могу зайти в папку programdata (сразу закрывается), и закрывается папка с вашим автологером, поэтому сделать логи не получилось.

Вот логи от др. Веба и скриншот сканирования, скачал через телефон его ( с вашим автологером точно также все сделал, но, видимо интернет забыл выключить и он как то понял что автологер надо пофиксить мне) .

Подскажите, пожалуйста, что нужно сделать в этой ситуации, чтобы вылечить компьютер?

desktop-hplet5r_79529_3-0-0-202308140_12012024-141854.zip - отчет о системе др.веба
 

Вложения

  • IMG_20240113_150110_264.webp
    IMG_20240113_150110_264.webp
    36.2 KB · Просмотры: 44
  • cureit.log
    cureit.log
    8.9 MB · Просмотры: 1
Последнее редактирование:
На будущее: логи нужно прикреплять к сообщению на форуме, а не выкладывать на файлообменники.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 
Последнее редактирование:
Забыл антивирус отключить при первом запуске AVbr, поэтому на всякий случай второй раз без антивируса запустил.
 

Вложения

Подскажите, пожалуйста, нужно ли ещё что то сделать? Джон удалился, цп больше не загружается, вкладки открываются.
 
Файл Check_Browser_Lnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

"Пофиксите" в HijackThis только следующие строки:
Код:
O2-32 - HKLM\..\BHO: IObit Surfing Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\Program Files (x86)\IObit\ADVANC~1\SURFIN~1\BROWER~1\ASCPLU~1.DLL (file missing)
O4 - Autorun.inf: E:\autorun.inf - open - AutoRun\AutoRunX\AutoRunX.exe (file missing)
O4 - MountPoints2: HKCU\..\{dff177bf-519c-11ec-bf8b-089798f03914}\shell\AutoRun\command: (default) = G:\SISetup.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Перезагрузите компьютер.

Включите защиту от подделки (была отключена майнером).

На системном диске слишком мало места, постарайтесь освободить (Рабочий стол, Документы и т.п.).

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FF user.js: detected! => C:\Users\79529\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2023-03-07]
    C:\Users\79529\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    CHR HKU\S-1-5-21-514285524-3474936551-1871357570-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    AlternateDataStreams: C:\Users\79529\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\79529\Application Data:fd585b8e864cc41e70aa800112186ec8 [394]
    AlternateDataStreams: C:\Users\79529\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\79529\AppData\Roaming:fd585b8e864cc41e70aa800112186ec8 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Симптомы майнера еще наблюдаются?
 
+
Ещё один скрипт выполните:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Симптомы прошли, скрипт выполнен
 

Вложения

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

AMD Software v.21.8.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.82.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9002 Внимание! Скачать обновления
Microsoft Teams v.1.6.00.4472 Внимание! Скачать обновления
Zoom v.5.10.3 (4851) Внимание! Скачать обновления
qBittorrent 4.3.7 v.4.3.7 Внимание! Скачать обновления
Java 8 Update 301 v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-i586.exe - Windows Offline)^
REAPER (x64) v.6.66 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО
 
Спасибо вам большое. Не знал, что такую помощь оказывают бесплатно. Очень хочется верить, что все это без подвохов (сами знаете, в интернете все возможно), здоровья и хорошего дня вам.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу