Решена Помогите пожалуйста очистить систему от майнера.

[Serg450]

Здравствуйте!
Деактивировал майнер из сейфмода при помощи AV block Remover. Пользователь John удален, фал host восстановлен.
Проходил им еще пару раз. (лог приложу).
Запустил Farbar Recovery Scan Tool (логи тоже прикладываю)
Помогите пожалуйста вычистить его до конца.

 

[Sandor]

Здравствуйте!

AVbr запускали несколько раз?

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
SUPERAntiSpyware

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-146427444-2718004676-2266771030-1001\...\MountPoints2: {032fbbb2-45ac-11eb-9549-c8d9d2a4d3c3} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-146427444-2718004676-2266771030-1001\...\MountPoints2: {5e3f405f-fbc2-11ec-9678-c8d9d2a4d3c3} - "F:\SR9900_SFX.exe" 
  HKU\S-1-5-21-146427444-2718004676-2266771030-1001\...\MountPoints2: {9e477435-f64c-11ec-966c-c8d9d2a4d3c3} - "F:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {2E70CF55-3B78-4480-AA22-D7F538423989} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {320BA7EF-3953-4195-8721-F77267B099C6} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {4D1C828B-ED96-4A29-B292-652865726E29} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {B8A291FD-3495-48A4-B949-ED3548254906} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-01-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-01-19] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\SYSTEM.SAV:err [1442]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2754]
  FirewallRules: [{64B69306-EF0D-46F9-B7FF-17CA30F71D9D}] => (Allow) LPort=5357
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Serg450]

Да, AVbr запускал несколько раз.

 

[Sandor]

Предыдущие его отчёты тоже покажите, пожалуйста.

Как себя ведёт сейчас система?

 

[Serg450]

Вот предыдущие 2.
Во втором случае был вылет, но возможно я дефендер не выключил.
Система отлично ведет себя, не глючит. Процессор не греется (как при майнере)

 

[Sandor]

Спасибо!

Хорошо, проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Serg450]

Ок

 

[Sandor]

-------------------------- [ SecurityUtilities ] --------------------------
Eraser 5.8.8 v.Eraser 5.8.8 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.70 (32-разрядная) v.5.70.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.5-I602 amd64 v.2.5.028 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45505 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.9.4 v.14.9.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.001.20145 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Pale Moon 28.8.0 (x86 en-US) v.28.8.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.07 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
VdhCoApp 1.4.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.4.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО

 

[Serg450]

Ок, спасибо большое!!!