Решена Майнер с новым пользователем Jhon

[Warhammer]

Здравствуйте! Вопрос нуба. Вчера поймал редкостную гадость. Майнер не давал зайти на сайты антивирусов (почистил hosts, заработало) и установить их (до сих пор не решено). Также появился новый пользователь Jhon. Пробовал утилиты от доктор веб, ркилл, хитман и т.д Ничего не помогло. Нашел файлы вируса вручную (они были скрыты и имели странную дату создания за 19 год, когда сам комп 21 года). Их нельзя было удалить просто так, суачал анлокер и выпиливал в ручную, но что-то пошло не так. Винда перестала нормально функционировать. Сейчас что-то наклацал и она локально переустановилась (с сохранением файлов). Что мне делать с этим счастьем? Заранее спасибо

 

[Sandor]

Здравствуйте!

Начните с диагностики: Правила оформления запроса о помощи

 

[Warhammer]

Здравствуйте!

Начните с диагностики: Правила оформления запроса о помощи

Понял, спасибо!
UPD: Добавил логи. После локальной переустановки виндоус удалось установить Nod 32. Нашел угрозы, но к некоторым у него нет доступа. Также, файлы вируса перенесенные мной в корзину не удается удалить

 

[Sandor]

Раз переустановили систему, по начальным логам следов вируса не видно.

Посмотрим дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

 

[Warhammer]

Раз переустановили систему, по начальным логам следов вируса не видно.

Посмотрим дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

 

[Sandor]

Пожалуйста, не цитируйте полностью предыдущее сообщение. Это ухудшает читаемость темы, замедляет реакцию форума (и нарушает правила ).
Пишите в нижнем поле быстрого ответа.
Сейчас посмотрю логи.

 

[Sandor]

После локальной переустановки виндоус

Переустановку делали с форматированием системного диска или "поверх"?
Вижу, пользователь John всё ещё присутствует.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Warhammer]

Извините пожалуйста, не знал, больше цитировать не буду!)
Ставил "поверх" с сохранением данных, потому что были еще нужные файлы.

 

[Sandor]

Понятно.
AVbr успешно отработал.
Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Warhammer]

Готово!
Проблема с невозможностью удаления файлов вируса из корзины сохраняется.
Ошибка "Запросите разрешение от Администраторы на изменение этой папки"

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус (!), но не отключайте сеть.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Warhammer]

Кажется, процесс повис :с Или он выполняется долго? Тем не менее, файлик создался.

 

[Sandor]

Да, в вашем случае может выполняться долго. Вы прервали или процесс ещё идёт?
Если идёт, дождитесь окончания и перезагрузки системы.

 

[Warhammer]

Процесс выполнился, компьютер перезагрузился. В ходе выполнения вылезла все та же ошибка "Запросите разрешение от Администраторы на изменение этой папки" на файлы вируса.
UPD: Заглянул в корзину после перезагрузки, она теперь пуста!

 

[Sandor]

В ходе выполнения вылезла все та же ошибка

А после перезагрузки не пробовали?

Результаты скрипта хорошие, в т.ч.

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

[Warhammer]

После перезагрузки корзина оказалась пуста!

 

[Sandor]

Это вас устраивает?

 

[Warhammer]

Если на этом все, то да, конечно!
Огромное Вам спасибо.
Стоит ли предпринять еще какие-то действия? Переустановить систему с полным форматированием, менять пароли и т.д? Или это уже лишнее?

 

[Sandor]

Явных указаний на то, что были украдены пароли - нет. Но периодически их менять (особенно важные), хорошая привычка.

В завершение и на будущее:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Warhammer]

Прикрепил! Также нашел странный процесс "Killer Network Service". Перешел в папку, там тоже дата создания некорректная как и у других вирусных файлов...