Решена Удаление хвоста майнера

[crystal.create]

Приветствую модераторов-целителей форума Safezone! (отдельный привет @Sandor, надеюсь именно он поможет избавиться от проблемы)
Проблема следующего характера — наткнулся на майнера Johna, собственными силами избавился от него (антивирусом Malwarebytes через другую учетную запись, утилитой AVbr), остался хвост от него: Malwarebytes был повержен майнером, нету доступа к некоторым действиям (не могу удалить зараженный Malwarebytes, не могу создать лог AutoLogger'a)

Ниже прикрепляю скриншот ошибки создания лога:

Помогите пожалуйста полностью удалить следы майнера! =)

 

[thyrex]

Распакуйте Autologger не на Рабочий стол и не в папку Загрузки

 

[regist]

Лог работы от AVbr также прикрепите.

 

[crystal.create]

+

 

[Sandor]

В целом, судя по логам, уже должно полегчать.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[crystal.create]

+

 

[Sandor]

Почистим некоторый мусор.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  CHR StartupUrls: Default -> "","","","","hxxp://google.com/","hxxps://www.google.com/"
  C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  2023-07-14 20:49 - 2023-07-14 20:49 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2023-07-14 20:49 - 2023-07-14 20:49 - 000000000 __SHD C:\ProgramData\princeton-produce
  Unlock: C:\Program Files\Malwarebytes
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[crystal.create]

+

 

[Sandor]

Хорошо.
Установленный в системе Malwarebytes запускается?

 

[crystal.create]

Хорошо.
Установленный в системе Malwarebytes запускается?

нет, на поврежденной учетной записи (Admin) не могу не запустить, не закрыть mbamservice.exe в диспетчере задач, не удалить сам Malwarebytes через "Программы и компоненты"

 

[Sandor]

Попробуйте так его удалить:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Затем скачайте заново и установите.

 

[crystal.create]

Попробуйте так его удалить:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Затем скачайте заново и установите.

после появления запроса, когда нажимаю "Да", выдает следующую ошибку:

 

[Sandor]

И что происходит после нажатия кнопки ОК?

 

[crystal.create]

И что происходит после нажатия кнопки ОК?

абсолютно ничего

UPD: заметил, программы больше нет в "Программы и компоненты", в диспетчере задач все также висит "mbamservice.exe", который невозможно закрыть
а в самой папке Malwarebytes остались эти папки:

 

[crystal.create]

UPD 2: после перезагрузки компьютера в диспетчере пропал сервис "mbamservice.exe", папка Malwarebytes была успешно удалена
при заходе на оф. сайт Malwarebytes, пишет следующее:

 

[akok]

https://2ip.ru - ваши ip публикуются?

 

[crystal.create]

https://2ip.ru - ваши ip публикуются?

как определить?
думаю, что да

 

[akok]

Значит вашу подсеть забанили на стороне Malwarebytes

 

[regist]

Значит вашу подсеть забанили на стороне Malwarebytes

Не конкретно его подсеть, а вообще для РФ давно настроен блок.

 

[crystal.create]

Не конкретно его подсеть, а вообще для РФ давно настроен блок.

да, и вправду, я думал это блокировка от майнера

UPD: Проблема решена! Удалось переустановить антивирус, сейчас всё в порядке! Спасибо большое)

По традиции прилагаю вам лог из программы SecurityCheck