Решена Майнер, троян который создал пользователя john и блокирует любое взаимодействие с троянами

[wizardroll]

Если коротко, я как всегда устанавливал программу на комп, и в этот момент обновил Malwarebytes и не успел проверить файл и перезагрузил комп, в итоге антивируса нет и скачать его нельзя, блокирует и сайты и Win+R и закрытие процессов MBAMservice(нету прав), и открытие папок и изменение прав, и открытее блокнотом host, и антивирусы и AVBR, и сидит в спрятанных папках, хоть мне они и должны быть видны, так ещё и прячется в диспетчере и сам его закрывает. Значит некоторое я смог поменять в безопасном режиме, к примеру разрешение на запуск приложений и ещё удалил папку John,(Malwarebytes всё ещё не устанавливается но вирус значит начал и так программы закрывать, единственное я еле смог пропихнуть Kaspersky Virus Removal Tool и он еле заработал в обычном запуске, нашёл 11 и при удалении мне даже диспетчер задач не дали открыть (нету прав) и комп говорил что у меня нет прав на запуск ВИНДОВС, вот сейчас сижу, прогнал его ещё пару раз и каждый раз появляется +- два одинаковых трояна,( видимо корень не вырвал,)и просить помощи мне уже не у кого,.
На фото приложил то что попало в карантин, и то что удалено (Я знаю что туда ещё и активатор винды попал)

 

[wizardroll]

Чуть не забыл

 

[regist]

Здравствуйте!

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером (уже в нормальном режиме).

 

[wizardroll]

Здравствуйте!

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером (уже в нормальном режиме).

Извиняюсь я не очень понял часть про collectionLog но вот эти логи которые выдал компьютер в безопасном и нормальном режиме, симптомов майнера вроде комп не ощущает. всё пока работает.

 

[regist]

Извиняюсь я не очень понял часть про collectionLog

Прочтите правила раздела Правила оформления запроса о помощи
И для ответа есть поле быстрого ответа внизу.

 

[wizardroll]

вроде он

 

[regist]

Профиксите в HijackThis

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

соберите свежие логи Автологером.

 

[wizardroll]

virusinfo_auto_DESKTOP-GLCF0SR.zip надеюсь отправил всё верно HijackThis использовал

 

[regist]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[wizardroll]

завершилась с трудом но вроде файлы в порядке

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3314661999-2374648694-3022305491-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AlternateDataStreams: C:\ProgramData:err [1820]
  AlternateDataStreams: C:\Users\All Users:err [1820]
  AlternateDataStreams: C:\Users\Все пользователи:err [1820]
  AlternateDataStreams: C:\ProgramData\Application Data:err [1820]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Animate 2021.lnk:AA3E2CC050 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2021.lnk:6E6E4AA64E [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7250]
  FirewallRules: [{575B06A3-E5B4-4728-8467-65D2DBC5C98B}] => (Allow) LPort=26789
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[wizardroll]

Вот как и было сказано, Bonjour удалил

 

[Sandor]

Хорошо. Проблема решена?

 

[wizardroll]

Всё хорошо но Malwarebytes теперь не хочет ни устанавливаться ни работать ни удаляться. Даже support tool пишет unable to connect the Service

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "90 дней".

 

[wizardroll]

вот

 

[wizardroll]

А не вроде уже сам починил, из папки был запущен процесс перекрывающий установку, я его остановил, и после удаления папки всё скачалось,
Антивирус нашёл оставшиеся вирусы и всё работает хорошо
Большое вам спасибо за помощь.
Я очень вам благодарен. Всего вам наилучшего.

 

[akok]

Тогда завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[wizardroll]

всё сделал

 

[akok]

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.9.7 (64-bit) v.3.9.7150.0 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.24.248 v.4.5.24.248 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Microsoft Teams v.1.6.00.1381 Внимание! Скачать обновления
Zoom v.5.13.11 (13434) Внимание! Скачать обновления
Telegram Desktop v.4.8 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^