Решена Помощь в удалении вируса/майнера (?) с юзером John

[levussshka]

Добрый день! Для начала — спасибо огромнейшее за существование вашего форума!
Если не сложно, помогите, пожалуйста, разобраться в дальнейших действиях...

После установки "левой" игры не из официальных источников компьютер начал себя странно вести, шуметь в покое при отсутствии запуска каких-либо энергоресурсных приложений, самопроизвольно закрываться диспетчер задач, при гугле информации что с машинкой может быть не так, самопроизвольно так же закрываться браузер. С телефона уже наткнулась на ваш форум, посмотрела похожие темы с такими же симптомами, хоть и разбираюсь плохо, но со вторым компом с резервного диска уже запустила AVbr, и после его работы и перезагрузки уже запустила AutoLogger. В процессе работы AVbr запросил удалить юзера John, которого естественно на компьютере не было никогда. Отчеты программ прикрепляю, компьютеру уже стало легче, по крайней мере в браузер пускает — но не уверена, что все осталось "чисто" после; заранее огромное спасибо за ваш труд, с меня обязательно донатсы!

 

[Sandor]

Здравствуйте!

В логах порядок.
DAEMON Tools Lite для какой цели используете? Только для монтирования образов?

 

[levussshka]

Здравствуйте!

В логах порядок.
DAEMON Tools Lite для какой цели используете? Только для монтирования образов?

ооо, хорошо, приятно слышать! ну в любом случае лучше перебдеть чем недобдеть, поэтому спасибо еще раз)
даймон да, в основном для образов

 

[Sandor]

Начиная с Win 10 система умеет это делать без дополнительных программ.
На iso образе правой кнопкой - Подключить.

Так что можно деинсталлировать.

Для верности давайте посмотрим ещё такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[levussshka]

Начиная с Win 10 система умеет это делать без дополнительных программ.
На iso образе правой кнопкой - Подключить.

Так что можно деинсталлировать.

Для верности давайте посмотрим ещё такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

хорошо, буду в курсе, спасибо за рекомендации! Уже удалила.
Новые логи вот:

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3145022963-3247228135-1082886609-1000\...\MountPoints2: {769444b7-6b66-11ee-8b08-047c16d12fd3} - "F:\Autoplay.exe" -auto
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2024-01-07 01:51 - 2024-01-07 14:26 - 000000000 ____D C:\Program Files\RDP Wrapper
  2024-01-07 01:51 - 2024-01-07 01:51 - 000000000 ____D C:\Program Files\7-Zip
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[levussshka]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3145022963-3247228135-1082886609-1000\...\MountPoints2: {769444b7-6b66-11ee-8b08-047c16d12fd3} - "F:\Autoplay.exe" -auto
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2024-01-07 01:51 - 2024-01-07 14:26 - 000000000 ____D C:\Program Files\RDP Wrapper
  2024-01-07 01:51 - 2024-01-07 01:51 - 000000000 ____D C:\Program Files\7-Zip
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

спасибо!!

 

[Sandor]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[levussshka]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

сделала...

 

[Sandor]

Вручную удалите ещё одно исключение Защитника для файла

C:\ProgramData\Windows Tasks Service\winserv.exe

Я пропустил.

В завершение, если проблема решена:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[levussshka]

Исключение удалила!
Вроде с компьютером все хорошо, спасибо еще раз большое!

 

[Sandor]

Исправьте по возможности:

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Discord v.1.0.9019 Внимание! Скачать обновления
µTorrent v.3.6.0.46900 Внимание! Клиент сети P2P с рекламным модулем!.
VLC media player v.3.0.19 Внимание! Скачать обновления
Adobe Acrobat v.23.003.20284 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^


Читайте Рекомендации после удаления вредоносного ПО

 

[levussshka]

Исправьте по возможности:

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Discord v.1.0.9019 Внимание! Скачать обновления
µTorrent v.3.6.0.46900 Внимание! Клиент сети P2P с рекламным модулем!.
VLC media player v.3.0.19 Внимание! Скачать обновления
Adobe Acrobat v.23.003.20284 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^


Читайте Рекомендации после удаления вредоносного ПО

спасибо за рекомендации все потихоньку обновлю. очень спасли/помогли!