Решена помогите удалить майнер John

[нигер]

в последнее время ничего не качал, но откуда ни возьмись появился этот чорт, прошу помогите его удалить

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

 

[нигер]

спасибо за помощь, он спросил удалить ли джона и я ответил да, так же он почистил папку хостс, если уже всё исправлено не закрывай тему остались вопросы

 

[Sandor]

Если не возражаете, я продолжу.

Теперь прочтите и выполните Правила оформления запроса о помощи
Проверим, не осталось ли хвостов.

 

[нигер]

понял, извиняюсь не знал

 

[Sandor]

Не страшно. Ждём результат анализа в виде архива CollecionLog-дата-время.zip

 

[нигер]

где его найти и в ином случае как создать, во всех папках av нету такого архива

 

[Sandor]

Читаем инструкцию вместе, начиная с пункта "Как подготовить логи"

• Перед началом сбора логов закройте (выгрузите) все запущенные программы и временно приостановите защиту вашего антивируса. Подробней как это сделать можете прочитать в теме Как временно выгрузить антивирусный продукт?

• Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.
• После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.
• Дождитесь окончания работы сбора логов.
• По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15

 

[нигер]

у меня урезаная винда и в ней вырезан доступ к настройкам антивируса я не могу его отключить

 

[Sandor]

Делайте без отключения антивируса.

 

[нигер]

вот архив

 

[Sandor]

Хорошо, продолжаем.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
Bonjour SDK
counter-individual
Кнопки сервисов Яндекса на панели задач

2. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '');
 QuarantineFile('C:\ProgramData\astonish-bellow\bin.exe', '');
 QuarantineFile('C:\Users\tugov\AppData\Local\Programs\6c222dd00d\2cd96b148c.msi', '');
 DeleteSchedulerTask('counter-individual');
 DeleteSchedulerTask('gmail-button-S-1-5-21-2959375586-1714715256-637050300-1001');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\astonish-bellow\bin.exe', '64');
 DeleteFile('C:\Users\tugov\AppData\Local\Programs\6c222dd00d\2cd96b148c.msi', '64');
 QuarantineFileF('C:\Program Files\WProxy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Program Files\WProxy', '*', true);
 DeleteDirectory('C:\Program Files\WProxy');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



4. Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[нигер]

кнопок яндекса никогда не было у меня, не смогу пока что удалить эти проги потому что в безопасном режиме нельзя
продолжаю действовать инструкции

 

[Sandor]

потому что в безопасном режиме нельзя

Нет, про безопасный режим не было речи. Всё выполняйте в нормальном режиме загрузки.

 

[нигер]

всё выполнил в штатном режиме и прикрепил логи

 

[Sandor]

В целом, уже неплохо. Но посмотрим ещё такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[нигер]

вот

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
  IFEO\SystemSettings.exe: [VerifierDlls] SecureUxTheme.dll
  IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
  Startup: C:\Users\tugov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Taskmgr.lnk [2024-01-18]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {41D8A27E-EB43-4D26-AD49-10156F84332F} - \gmail-button-S-1-5-21-2959375586-1714715256-637050300-1001 -> Нет файла <==== ВНИМАНИЕ
  Task: {B3419DC5-AB9E-4D0D-AD38-6FC7DDBB3A35} - \WProxy\WinProxy -> Нет файла <==== ВНИМАНИЕ
  Task: {B3854BC0-E3E0-4B88-A67C-EDEFDFB762CF} - \counter-individual -> Нет файла <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-2959375586-1714715256-637050300-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2023.lnk:348C7DE18C [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flot.lnk:6BC5A277CB [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Off.lnk:2B31A326CE [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Resource Hacker.lnk:127507D7DE [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tenorshare ReiBoot.lnk:73C250CA73 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2022.lnk:F94DB65675 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [4306]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4672]
  HKU\S-1-5-21-2959375586-1714715256-637050300-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2959375586-1714715256-637050300-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2959375586-1714715256-637050300-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2959375586-1714715256-637050300-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  FirewallRules: [{093922DB-79B2-42D3-99A0-09DB16E5049A}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare ReiBoot\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{9A0A1244-1245-4D93-9549-CBC320601215}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare ReiBoot\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{774D6415-14A6-4069-9523-A77D2CCE9D88}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare ReiBoot\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{983779EA-5E03-422C-BFCE-9EAEDF4CC58E}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare ReiBoot\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{95731F71-3ED2-4F1A-878D-80FD9EA85548}] => (Allow) C:\Users\tugov\Downloads\reiboot.exe => Нет файла
  FirewallRules: [{3D999D1A-D221-49A7-8989-CA463261629F}] => (Allow) C:\Users\tugov\Downloads\reiboot.exe => Нет файла
  FirewallRules: [{41B984BB-930B-466F-890C-89A9E14D1DC1}] => (Allow) LPort=1984
  FirewallRules: [{26F0CA36-FA4E-4E6F-AC23-F538EF4F1FD6}] => (Allow) LPort=1984
  FirewallRules: [{EA04DC48-EEAF-4D3F-8E61-A9CD5217E57D}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{A1C6FDB3-555B-4C9D-BD90-425CDE292E71}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[нигер]

вот пожалуйста, повторюсь нужно будет потом задать пару вопросов не закрывайте тему

 

[Sandor]

Исключение Защитника

C:/Users

нужно удалить.

Ответьте - что сейчас с проблемой?
И задавайте ваши вопросы.