Решена Убрать последствия после John

  • Автор темы Автор темы Lama2
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Lama2

Новый пользователь
Сообщения
31
Реакции
0
Добрый день. Получилось удалить майнер, но как я понял, остались еще его следы в системе. Логи прикрепил
 

Вложения

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Спасибо за быструю реакцию. Сделано
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Вложения

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\FF_.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {045B6A7F-FE37-495D-876C-1AB913FF183C} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{E0C08921-017C-4816-8E38-05829C7F9901}D:\games\killer instinct\killerinstinctx64_r.exe] => (Allow) D:\games\killer instinct\killerinstinctx64_r.exe => Нет файла
FirewallRules: [UDP Query User{CA6127D4-370B-4D0B-9F63-E9533558D185}D:\games\killer instinct\killerinstinctx64_r.exe] => (Allow) D:\games\killer instinct\killerinstinctx64_r.exe => Нет файла
FirewallRules: [TCP Query User{A58E16E1-9AB2-4861-B7B7-C31AE0F69A04}D:\torrentino\gotham knights\mercury\binaries\win64\gothamknights-win64-shipping.exe] => (Allow) D:\torrentino\gotham knights\mercury\binaries\win64\gothamknights-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{F0880F6C-2B97-464F-A9B3-1871FCC86192}D:\torrentino\gotham knights\mercury\binaries\win64\gothamknights-win64-shipping.exe] => (Allow) D:\torrentino\gotham knights\mercury\binaries\win64\gothamknights-win64-shipping.exe => Нет файла
FirewallRules: [{D152FD25-3902-47A5-8F6E-4FA9685A4346}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{A01DFA8C-12E1-4BF1-9D59-84C3BA9D4363}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [TCP Query User{BBA9B778-74A5-4F48-B6F0-304C454CA11C}D:\torrentino\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.season.1.build.9517981\freshwomen.exe] => (Allow) D:\torrentino\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.season.1.build.9517981\freshwomen.exe => Нет файла
FirewallRules: [UDP Query User{B396C604-4A48-4716-8D55-7F3B42D1FA66}D:\torrentino\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.season.1.build.9517981\freshwomen.exe] => (Allow) D:\torrentino\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.season.1.build.9517981\freshwomen.exe => Нет файла
FirewallRules: [TCP Query User{B55C79D0-8444-422D-ADD6-4F22356A00E4}D:\torrentino\lust_academy\season_1_rus\lust-academy_season1_0.7.1d-rus\lust-academy.exe] => (Allow) D:\torrentino\lust_academy\season_1_rus\lust-academy_season1_0.7.1d-rus\lust-academy.exe => Нет файла
FirewallRules: [UDP Query User{DBED9A54-43E6-416E-97A2-3002C960635F}D:\torrentino\lust_academy\season_1_rus\lust-academy_season1_0.7.1d-rus\lust-academy.exe] => (Allow) D:\torrentino\lust_academy\season_1_rus\lust-academy_season1_0.7.1d-rus\lust-academy.exe => Нет файла
FirewallRules: [TCP Query User{483B698F-E8B8-4CF8-98A0-A1797077B011}D:\torrentino\internet cafe simulator 2 v1.2.5\internet cafe simulator 2.exe] => (Allow) D:\torrentino\internet cafe simulator 2 v1.2.5\internet cafe simulator 2.exe => Нет файла
FirewallRules: [UDP Query User{1E00CA66-4BE6-4C0E-AA43-7887D046AE86}D:\torrentino\internet cafe simulator 2 v1.2.5\internet cafe simulator 2.exe] => (Allow) D:\torrentino\internet cafe simulator 2 v1.2.5\internet cafe simulator 2.exe => Нет файла
FirewallRules: [TCP Query User{A6A12AB5-A050-48B0-8DAD-9629A76B5F71}C:\users\ston134\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\ston134\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла
FirewallRules: [UDP Query User{2FE0D8ED-5F83-418D-80B4-20C1F02E38BE}C:\users\ston134\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\ston134\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла
FirewallRules: [{FD16EC2A-BF1E-4140-ACE3-0B6F4512FDFE}] => (Allow) C:\Users\Ston134\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1FEDDD09-99D8-47AC-B05B-3C352A651A24}] => (Allow) C:\Users\Ston134\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
По логам все нормально?
цп грузить перестало, единственное, что не дает устанавливать програмы через msi пакеты
 

Вложения

Какую ошибку выдает?
 
Вот на скрине
 

Вложения

  • Screenshot_1.webp
    Screenshot_1.webp
    6.5 KB · Просмотры: 45
Подготовьте свежий лог FRST
 
Это точно та же система?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-395477898-3849732601-3522430929-1001\...\MountPoints2: {fb567b77-6b5a-11ed-91e0-d45d647febba} - "G:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-395477898-3849732601-3522430929-1001\...\MountPoints2: {fb567d09-6b5a-11ed-91e0-d45d647febba} - "G:\HiSuiteDownLoader.exe" 
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Это точно та же система?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-395477898-3849732601-3522430929-1001\...\MountPoints2: {fb567b77-6b5a-11ed-91e0-d45d647febba} - "G:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-395477898-3849732601-3522430929-1001\...\MountPoints2: {fb567d09-6b5a-11ed-91e0-d45d647febba} - "G:\HiSuiteDownLoader.exe"
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Система та же
 

Вложения

проверьте проблему с msi
 
Все так же
 

Вложения

  • Screenshot_1.webp
    Screenshot_1.webp
    5.8 KB · Просмотры: 45
Проблема скорее всего связана с ошибками системы, а не с вирусами.
Попробуем исправить:

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    FirewallRules: [{B559E872-E9C1-4D16-9415-25AA22DBF61C}] => (Allow) LPort=57209
    FirewallRules: [{8C0BFC43-6900-4FD9-8B84-FB02EC0515C3}] => (Allow) LPort=57210
    FirewallRules: [{4F24C7F3-04D6-44E1-A3AB-814D1EFE4CE0}] => (Allow) LPort=57211
    FirewallRules: [{870C98D5-47AA-4705-A46A-751FED598888}] => (Allow) LPort=57212
    FirewallRules: [{A0E75E8F-414A-4271-BB90-CFB5A36CA1C6}] => (Allow) LPort=57213
    FirewallRules: [{42D5FE41-BD24-4FEE-A4C9-210FD1D59F45}] => (Allow) LPort=57214
    FirewallRules: [{C5A6BE81-EE29-4578-A0AA-064386790CDA}] => (Allow) LPort=57215
    FirewallRules: [{80D30A58-4770-4C0D-8FC2-68F292B05E46}] => (Allow) LPort=57216
    FirewallRules: [{A24E9D2E-2752-49B7-90A4-BBBA9E9BFFE2}] => (Allow) LPort=57217
    FirewallRules: [{EADB48A5-4F8F-4953-95FF-5A5FAD7BD817}] => (Allow) LPort=57218
    FirewallRules: [{BFD42F0F-685E-4B65-81BA-5B9F855ACB5E}] => (Allow) LPort=57209
    FirewallRules: [{3AF9E9CA-0C3E-401B-9BB9-C4EBF8B9CFA0}] => (Allow) LPort=57210
    FirewallRules: [{ED3B75CA-40B2-4B3E-A2FA-630B86DB8B9F}] => (Allow) LPort=57211
    FirewallRules: [{B0ECBD91-A9AC-4033-9457-89AEA8E01F1F}] => (Allow) LPort=57212
    FirewallRules: [{F3FF2AA1-4FD2-4FC9-84AE-AF3EC381BEA5}] => (Allow) LPort=57213
    FirewallRules: [{2500604E-9AD1-44F6-B4C6-CADAF384707D}] => (Allow) LPort=57214
    FirewallRules: [{928285C2-6F88-4600-A632-37F901C484C7}] => (Allow) LPort=57215
    FirewallRules: [{29EDEEB4-CB8E-47C5-91B6-CBD1C2DC4FB6}] => (Allow) LPort=57216
    FirewallRules: [{A0AE6C60-D2EF-4786-A212-45871B9B213D}] => (Allow) LPort=57217
    FirewallRules: [{77D156A9-7640-48D2-818A-BFEE3B44B473}] => (Allow) LPort=57218
    FirewallRules: [{088DE24A-25E4-47D9-84D4-8C060E1FEB23}] => (Allow) LPort=23007
    FirewallRules: [{476D3AB2-8E66-41EB-9C01-395F6C4E031E}] => (Allow) LPort=23008
    FirewallRules: [{0B96DC21-C662-41AB-9D8A-766B8F7F762D}] => (Allow) LPort=33009
    FirewallRules: [{6D890DBF-B904-4920-9E4A-B3BCC602D980}] => (Allow) LPort=33010
    FirewallRules: [{EB553064-221B-4A8D-B683-E7008C1A1E74}] => (Allow) LPort=33011
    FirewallRules: [{2D96B34B-3973-4F85-9680-ED004C4A608B}] => (Allow) LPort=43012
    FirewallRules: [{0475C842-62F7-472E-8EA2-749F20F0D15A}] => (Allow) LPort=43013
    FirewallRules: [{0D01DEC3-8A2C-4393-9DD1-C8318EC4B7B5}] => (Allow) LPort=53014
    FirewallRules: [{D496D75F-9352-43C5-9ECE-34927B29A74A}] => (Allow) LPort=53015
    FirewallRules: [{DAD3B5AE-D6A4-45DC-8B1E-E5FE54DDD3CE}] => (Allow) LPort=53016
    FirewallRules: [{016691AD-5E2C-47FB-80EE-FA6C0638E502}] => (Allow) LPort=23007
    FirewallRules: [{18E7367D-56F6-48A5-8DF2-482B1BC12A3B}] => (Allow) LPort=23008
    FirewallRules: [{5E630C26-4C2A-414C-8DF5-B8C33E95E33D}] => (Allow) LPort=33009
    FirewallRules: [{54F7B6B2-657A-4E83-872E-B2F3489F03AF}] => (Allow) LPort=33010
    FirewallRules: [{6BF5F082-FA6B-4C62-8AE6-439B2F35E8F2}] => (Allow) LPort=33011
    FirewallRules: [{D692C8FE-20D4-4705-8136-445088943714}] => (Allow) LPort=43012
    FirewallRules: [{FCCC524D-8662-4670-B9F5-CB13FA3687B5}] => (Allow) LPort=43013
    FirewallRules: [{B48129C0-3EC8-4A5C-82AA-E40BB36E22DE}] => (Allow) LPort=53014
    FirewallRules: [{F4F91BAE-EAED-460B-A634-77FDEB02CE10}] => (Allow) LPort=53015
    FirewallRules: [{9DDD814C-1810-4C96-AE58-249AF5593EBC}] => (Allow) LPort=53016
    FirewallRules: [{F5886FF3-8326-4EB7-A500-0E25EAD57DF6}] => (Allow) LPort=50053
    FirewallRules: [{9B2EFBDD-B846-401E-8D29-77DBD8A2B830}] => (Allow) LPort=50053
    C:\Users\Ston134\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    cmd: ECHO Y|CHKDSK C: /F
    cmd: pushd c:\windows\system32
    cmd: bcdedit.exe /set {default} recoveryenabled yes
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скрипт может выполняться длительное время (до получаса), дождитесь окончания.
Во время перезагрузки будет запущен поиск и исправление возможных ошибок диска, не прерывайте.

Подробнее читайте в этом руководстве.
 
Прикрепил.MSI проблема не исчезла
 

Вложения

Подготовьте свежий логи FRST, посмотрим.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу