Решена Словил майнер с пользователем John

[Serka]

Доброго времени суток! Скачал игрульку с торрента, словил майнер. Обнаружил его почти сразу же. Нагрузка на ЦП и Видеокарту. Закрывался диспетчер, браузер и т.д.
Удалось через трудности просканировать Dr.Web, 5 угроз вылечил. Закрепил это всё дело ещё и Kaspersky. И Потом AVbr.exe. (от Avbr логов не осталось, удалил.)
Успешно был удален пользователь John, и файл hosts тоже был очищен от постороннего мусора.

Всё пришло в норму.
Вопрос в следующем: По-любому остались последствия и хвосты мусора и грязи от этого всего "Добра". Прошу помочь дочистить!
Логи от автоматического сборщика логов прикрепляю.

 

[Sandor]

Здравствуйте!

Да, кое-что следует очистить.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10.0.0.65
Kerish Doctor 4.90

"Пофиксите" в HijackThis только следующее:

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: Driver Booster Scheduler - D:\Programs\IObit\Driver Booster\Scheduler.exe /scheduler
O22 - Tasks: Driver Booster SkipUAC (User) - D:\Programs\IObit\Driver Booster\DriverBooster.exe /skipuac
O22 - Tasks: Driver Booster Update - D:\Programs\IObit\Driver Booster\AutoUpdate.exe /auto
O22 - Tasks: Temp - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Get-ChildItem -Path $env:TEMP -Force -Recurse | Remove-Item -Force -Recurse

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Serka]

Всё сделал, вот файлы:

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2874891789-3284923444-3798863900-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2022-10-23] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Serka]

Всё сделал. Может быть ещё посоветуете какую-нибудь хорошую программу для чистки компьютера ? Раньше пользовался Kerish Doctor или Wise Care 365

 

[Sandor]

Мы не советуем пользоваться никакими сторонними чистильщиками или оптимизаторами. Собственных средств системы вполне достаточно.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Serka]

Вот файл

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после удаления вредоносного ПО

 

[Serka]

Благодарю за помощь!