Решена Trojan RDP, Miner, пользователь John

Статус
В этой теме нельзя размещать новые ответы.
N

NotSoSmart

Новый пользователь
Сообщения
9
Реакции
1
Здравствуйте, подцепил, как водится, заразу с торрента, не обратил внимание на то что ругался дефендер и нажал разрешить. Вирус заблокировал возможность скачивать антивирусы, благо сообразил загуглить и нашёл способ вручную удалить из реестра блокировки. Так же вирус добавил сам себя и системные папки в исключения. Тоже удалил через реестр. Затем установил касперского, который вроде бы всё удалил и сказал что всё хорошо. Но меня смутило количество процессов, которых я никогда не видел, новый пользователь John и скрытые папки Default10000, Default и другие, в частности RDP Wrapper. Попробовал Malwarebytes, этот товарищ тоже какие-то трояны нашёл и удалил. Потом ещё для компании решил Dr. Web установить и им тоже проверить, на этот раз уже безрезультатно. Потом нашёл ваш форум (спасибо что он есть) и по инструкции запустил виндоус 10 в безопасном режиме с поддержкой сети, распаковал и установил AV block remover. Программа предложила удалить пользователя джона, чему несказанно рад был и вроде бы успешно прошёл процесс. Прикрепляю лог AVZ и логгера. Ещё, может это важно, я до того как нашёл данный форум, в журнале событий брэндмауэра сделал восстановление настроек и галочки снял с подозрительных как мне показалось FirewallAPI.dll, -80201 и -80206. Надеюсь мой метод тыка не осложнит удаление вируса :Sorry2: А ещё я отключил оба внешних диска, оставив только ссд с системой. Что с ними делать пока не знаю, может они тоже заражены. Главное вернуться к безопасной работе. И на всякий случай поменял все пароли с другого устройства, а с ПК отовсюду (практически) вышел.
 

Вложения

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
thyrex написал(а):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Нажмите для раскрытия...
Доброе утро. Сделал
 

Вложения

  • FRST.rar
    FRST.rar
    26.9 KB · Просмотры: 6
А где второй файл, который должен быть в архиве?
 
thyrex написал(а):
А где второй файл, который должен быть в архиве?
Нажмите для раскрытия...
Скачал сейчас архив который загрузил, у меня оба файла внутри. Addition.txt и FRST.txt. На всякий переотправляю
 

Вложения

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
Task: {16490EE8-E9E1-423D-A7D5-FD067A95762D} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe --repair (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
  • Like
Реакции: akok
thyrex написал(а):
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
Task: {16490EE8-E9E1-423D-A7D5-FD067A95762D} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe --repair (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Нажмите для раскрытия...
Выполнил, прикладываю Fixlog
 

Вложения

Что с проблемой?
 
akok написал(а):
Что с проблемой?
Нажмите для раскрытия...
Не знаю, но бесплатный антивирус Dr. Web секьюрити веб спейс больше ничего не видит. Другими проверять не пробовал, диски на которых нет системы пока отключил. Прислал фикслог в последнем сообщении. Вирус удалил все точки восстановления, поэтому думаю сделать восстановление виндовс в исходное состояние, купить касперский интернет секьюрити, установить, а потом подключать диски которые я отсоединил и проверять их. Это безопасный способ? Приложения и игры не нужны, достану только документы и изображения которые нужны, а потом и жёсткие диски отформатирую на всякий.
 
NotSoSmart написал(а):
Прислал фикслог в последнем сообщении. Вирус удалил все точки восстановления, поэтому думаю сделать восстановление виндовс в исходное состояние, купить касперский интернет секьюрити, установить, а потом подключать диски которые я отсоединил и проверять их. Это безопасный способ? Приложения и игры не нужны, достану только документы и изображения которые нужны, а потом и жёсткие диски отформатирую на всякий.
Нажмите для раскрытия...
Излишне для майнера. Тем более все почистили.
NotSoSmart написал(а):
Не знаю
Нажмите для раскрытия...
Проверяйте нагрузку в простое, если ее нет и пускает на сайты антивирусов, то все нормально и можно завершать лечение.
 
akok написал(а):
Излишне для майнера. Тем более все почистили.

Проверяйте нагрузку в простое, если ее нет и пускает на сайты антивирусов, то все нормально и можно завершать лечение.
Нажмите для раскрытия...
Нагрузки нет, на сайты заходит. Из того чего я не видел до вируса: остались скрытые папки Default10000, Default, правила файрвола FirewallAPI.dll, -80201 и -80206, @netlogon.dll,-1003 и @netlogon.dll,-1008. Насчёт остального было оно или нет не уверен. Наверное ошибочно было отключать другие диски при всех процедурах что делали выше, потому что занёс изначально через диск E. Но как я помню один из антивирусов там тоже нашёл и удалил всё. Может на всякий случай подключить их и проверить каким-нибудь антивирусом? Или это уже не важно и достаточно чтобы в системе на диске С ничего не было?
 
NotSoSmart написал(а):
потому что занёс изначально через диск E.
Нажмите для раскрытия...
Сомнительно, т.к. именно этот майнер попадает в систему вместе с каким-либо репаком или активатором, скачанным обычно с торрента.

Но для верности можем сделать такую проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Sandor написал(а):
Сомнительно, т.к. именно этот майнер попадает в систему вместе с каким-либо репаком или активатором, скачанным обычно с торрента.

Но для верности можем сделать такую проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Нажмите для раскрытия...
Готово
 

Вложения

  • scan.txt
    scan.txt
    2.5 KB · Просмотры: 7
Эта утилита покажет устаревший/уязвимый софт в системе. Удачи и с Наступающими.
 
akok написал(а):
Эта утилита покажет устаревший/уязвимый софт в системе. Удачи и с Наступающими.
Нажмите для раскрытия...
Спасибо, Вас тоже с Наступающими. Софта пока нет, не было времени заняться. И всё таки купил касперского интернет секьюрити. Читал другие темы, видел что лучше не устанавливать оптимизаторы и подобные приложения (раньше ccleaner стоял) и всегда устанавливать обновления своевременно
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

indigerr
Закрыто Файлы зашифрованы Trojan.Encoder.37373
Ответы
2
Просмотры
127
indigerr
indigerr
E
Решена Как избавиться от Trojan:Win32/CoinMiner на виндовс
Ответы
15
Просмотры
704
Eugene85
E
С
Решена без расшифровки Win32/Filecoder.Lockbit trojan зашифровал все файлы
Ответы
10
Просмотры
397
Sandor
Sandor
Назад
Сверху Снизу