Решена Майнер John, помогите, пожалуйста.

[Dema32]

Здравствуйте, после установки не лицензионной игры компьютер стал использовать ЦП на 100 процентов и появилась новая учётная запись John. При любой попытке скачать антивирус и подобном вылетает браузер, также не могу зайти в папку programdata (сразу закрывается), и закрывается папка с вашим автологером, поэтому сделать логи не получилось.

Вот логи от др. Веба и скриншот сканирования, скачал через телефон его ( с вашим автологером точно также все сделал, но, видимо интернет забыл выключить и он как то понял что автологер надо пофиксить мне) .

Подскажите, пожалуйста, что нужно сделать в этой ситуации, чтобы вылечить компьютер?

desktop-hplet5r_79529_3-0-0-202308140_12012024-141854.zip - отчет о системе др.веба

 

[thyrex]

Правила оформления запроса о помощи

 

[Dema32]

CollectionLog-2024.01.13-19.52.zip - логи с автологера

 

[thyrex]

На будущее: логи нужно прикреплять к сообщению на форуме, а не выкладывать на файлообменники.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[Dema32]

Забыл антивирус отключить при первом запуске AVbr, поэтому на всякий случай второй раз без антивируса запустил.

 

[Dema32]

Подскажите, пожалуйста, нужно ли ещё что то сделать? Джон удалился, цп больше не загружается, вкладки открываются.

 

[Sandor]

Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

"Пофиксите" в HijackThis только следующие строки:

O2-32 - HKLM\..\BHO: IObit Surfing Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\Program Files (x86)\IObit\ADVANC~1\SURFIN~1\BROWER~1\ASCPLU~1.DLL (file missing)
O4 - Autorun.inf: E:\autorun.inf - open - AutoRun\AutoRunX\AutoRunX.exe (file missing)
O4 - MountPoints2: HKCU\..\{dff177bf-519c-11ec-bf8b-089798f03914}\shell\AutoRun\command: (default) = G:\SISetup.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

Включите защиту от подделки (была отключена майнером).

На системном диске слишком мало места, постарайтесь освободить (Рабочий стол, Документы и т.п.).

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Dema32]

Вроде все получилось.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\79529\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2023-03-07]
  C:\Users\79529\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-514285524-3474936551-1871357570-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  AlternateDataStreams: C:\Users\79529\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\79529\Application Data:fd585b8e864cc41e70aa800112186ec8 [394]
  AlternateDataStreams: C:\Users\79529\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\79529\AppData\Roaming:fd585b8e864cc41e70aa800112186ec8 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Dema32]

Готово

 

[akok]

Симптомы майнера еще наблюдаются?

 

[Sandor]

+
Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Dema32]

Симптомы прошли, скрипт выполнен

 

[Sandor]

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Dema32]

Сделано

 

[Sandor]

Исправьте по возможности:

AMD Software v.21.8.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.82.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9002 Внимание! Скачать обновления
Microsoft Teams v.1.6.00.4472 Внимание! Скачать обновления
Zoom v.5.10.3 (4851) Внимание! Скачать обновления
qBittorrent 4.3.7 v.4.3.7 Внимание! Скачать обновления
Java 8 Update 301 v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-i586.exe - Windows Offline)^
REAPER (x64) v.6.66 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО

 

[Dema32]

Спасибо вам большое. Не знал, что такую помощь оказывают бесплатно. Очень хочется верить, что все это без подвохов (сами знаете, в интернете все возможно), здоровья и хорошего дня вам.