Решена Помогите избавиться от майнера Jhon

[Tarisha]

Приветствую, вчера обнаружила нового пользователя с именем Jhon, почитала про это в сети, и ужаснулась, от того, какую пакость подхватила. У меня абсолютно новый комп с новой системой и жестким диском под неё, ему 10 дней всего, и именно вчера мне понадобилось скачать пиратское по. Помимо нынешнего диска стоят ещё три, один с данными для работы, остальные почти пустые. Может ли вирус заныкаться в моих дисках с данными, если например снести систему?
Хочется избавиться от паразита, очень жалко мои любимые новые железяки. Выполнила все действия по инструкции от AVbr, и собрала логи для Вас. К сожалению, мне не удалось выключить брандмауер виндовс (он не выключаемый какой-то), который вчера обнаружил и добавил в карантин вредоносное ПО, удалить не смог. Нового пользователя я вчера в панике удалила через панель пользователей. Так же удалила скачанное ПО и его установочники.
Во время сканирования AVbr отключила кабель сети. При сборе логов снова включила, поскольку просил открыть браузеры для проверки.
Хочу добавить, что копировать файлы Avbr и AutiLigger с флешки (коим был мой телефон) удалось не с первого раза, выдавал ошибки, "скриншоты" прилагаю.
Очень прошу Вашей помощи, уважаемые знатоки.

P.S. пропал значок брандмауэра в панели справа, открываю его через настройки

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Tarisha]

Благодарю за ответ, но у меня не выходит выключить встроенный в Виндовс брандмауэр. Никак. Как писала выше, значок на панели снизу исчез, через настройки он не выключается, советы из сети мне не помогают, поскольку у меня нет тех кнопок, которые пишут нажимать в инструкции. Замучилась я с ним.... В Вашей инструкции тоже его не обнаружила. Нашла способ выключить его через реестр, так можно сделать? Как быть?

P.S. висит в автозагрузках, путь к файлу заблокирован

 

[akok]

Не получается, значит пропускаем шаг и отписываемся какой пропустили. Если это важный шаг, то будем думать как исправить другим способом.

 

[Tarisha]

Кроме пункта об отключении антивируса, выполнила все предписания, файл quarantine.7z отправлен при помощи формы, остальные прикрепляю.
Во время производимых действий, начал ругаться антивирус на то, что находится на скриншоте.
Надеюсь, я всё правильно сделала.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {5BB73C47-4E43-4E44-BF62-B76E1B8BA291} - System32\Tasks\FanControl => FanControl.exe  (Нет файла) <==== ВНИМАНИЕ
  FirewallRules: [TCP Query User{830E3BE0-0422-4C84-87F0-C20AD323071C}E:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) E:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [UDP Query User{3C92DB8A-3E9E-45A0-9B9D-9B8ED17C2AEF}E:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) E:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [TCP Query User{0A793488-C9D8-41E2-A6AE-4ACB8B006F3A}F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [UDP Query User{5429BBD8-8F2E-4399-952F-94CCBFD59B77}F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [{19740D0B-274B-45EC-A9DE-418B0541B793}] => (Block) F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [{0A23B7EB-B269-402E-A083-EA81F9C5D10C}] => (Block) F:\soft\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [TCP Query User{F7CF3AD0-E25E-4BD8-8C1E-81BEBF4CE728}C:\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [UDP Query User{9AA0587B-035D-45BF-A4F9-CF4E68D9DFDF}C:\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\games\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [TCP Query User{BD2BFA53-555B-4BB7-8ACA-7E5FCC19F17A}C:\games\my time at sandrock\sandrock.exe] => (Block) C:\games\my time at sandrock\sandrock.exe => Нет файла
  FirewallRules: [UDP Query User{8EF97C33-268B-478F-A562-115659204AFE}C:\games\my time at sandrock\sandrock.exe] => (Block) C:\games\my time at sandrock\sandrock.exe => Нет файла
  FirewallRules: [TCP Query User{8D733C74-AF8C-4CC9-97C0-76155261284B}C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [UDP Query User{5813C38E-C085-4A88-BB6F-7A98D7CE6A16}C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Tarisha]

Добрый вечер, сделано.

 

[Sandor]

Что из проблем сейчас осталось?

 

[Tarisha]

Здравствуйте, благодарю сердечно за проделанную Вами работу! Пока проблем не вижу, думаю нужно понаблюдать. Есть ли способы проверить, не перебежал ли вирус на другие диски? Если такое бывает. Почитала про него, что это очень хитрый вирус, который может прятаться...

 

[Tarisha]

Сейчас заметила вот что, этот процесс выключается на глазах, пришлось ловить его камерой телефона. И ещё висят два процесса. Может ещё что-то нужно разглядеть, только я не знаю куда смотреть и что искать, подскажите пожалуйста. Спасибо заранее.

 

[thyrex]

Это уже системный процесс и не нужно пытаться его ловить. На другие диски майнер не перебегает, как Вы изволили выразиться.

 

[Sandor]

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Tarisha]

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Здравствуйте, всё выполнила.

 

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46944 Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после удаления вредоносного ПО

 

[Tarisha]

Благодарю Вас за огромную помощь и терпение. Вы волшебники!