Решена Майнер John. Удалил, но нужна проверка

[IUGKJgktkj]

Здравствуйте. Обнаружил у себя этот майнер со всеми вытекающими (не мог открыть сайты антивирусов, заблокированные папки антивирусов в различных папках на диске С, скрытый пользователь John). Однако, по ощущениям не было заметно, что сам майнер действительно работал, тк вроде кулеры не гудели и диспетчер задач не закрывался самостоятельно. Проблему с сайтами решил ручным изменением файла Hosts (там было много сайтов с антивирусами), затем удалил сам майнер через CureIt (C:\programdata\windowstask\microsofthost.exe, там же был файл AMD.exe и еще пару), он также нашел другие зараженные файлы, которые, я надеюсь, успешно удалились. Затем использовал AVbr и зачистил все остальное. Руками в планировщике заданий почистил все задания относящиеся, к этим файлам. Пока что присутствие майнера не ощущается, но не уверен, что все хорошо сделал и осталось ли еще какие-то хвосты, другие вирусы и тд. Не могли бы вы проверить, пожалуйста, ок ли все?

 

[akok]

Смотрится неплохо

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Se&nd to OneNote: (default) = C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[IUGKJgktkj]

Спасибо. Прикрепляю отчеты.

 

[Sandor]

Тут тоже плохого не видно.

Затем использовал AVbr

Если сохранился его отчёт в виде файла AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[IUGKJgktkj]

Да, отчет сохранился. Прикрепил ниже.

 

[Sandor]

Спасибо.
Для верности сделаем дополнительную проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[IUGKJgktkj]

Прикрепляю результаты проверки.

 

[Sandor]

Всё найденное удалите (поместите в карантин).
Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[IUGKJgktkj]

Прикрепляю отчет.

 

[Sandor]

Тут удалять ничего не нужно. Чем из перечисленного предустановленного ПО от Lenovo не пользуетесь, можете деинсталлировать стандартно через Параметры - Приложения.

Если проблема решена, завершаем:
1. Деинсталлируйте Malwarebytes.

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[IUGKJgktkj]

Лог сделал, но чуть что блокнот сам закрывается, когда я его проматывают до конца. А так все оки, спасибо большое! Прикрепляю этот лог.

 

[Sandor]

чуть что блокнот сам закрывается, когда я его проматывают до конца

Поясните - любой документ, открытый в Блокноте или конкретно этот?

 

[IUGKJgktkj]

Нет, большинство файлов в блокноте работают корректно. Вчера сначала заметил, что файл "info.txt" из общего архива в моем самом первом сообщении также сам закрывается автоматически. Сейчас вот этот файл тоже начал, других примеров не нашел. Пока что выглядит, как проблема с горизонтальной прокруткой в блокноте, но это не точно.

 

[IUGKJgktkj]

Файл "info.txt" из этого архива тоже автоматически закрывается.

 

[Sandor]

По этой проблеме посоветуйтесь в нашем системном разделе (ссылку на эту тему там укажите).
Текущую тему помечаю решённой.

По возможности исправьте:
------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee LiveSafe v.16.0 R32 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.13.3 (11494) Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.5 v.4.4.5 Warning! Download Update
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.109.0.5414.121 Warning! Download Update

Читайте Рекомендации после удаления вредоносного ПО

 

[IUGKJgktkj]

Понял, спасибо еще раз!