Решена Вирус майнер - John не даёт установить Malwarebytes!

[olga56689]

Добрый день! На компьютере с помощью AV block remover был обнаружен вирус майнер John, программа вроде удалила его, но все равно не получается скачать или установить Malwarebytes. Запускаю установку и выскакивает сообщение "Не удалось выполнить установку. Пожалуйста перезагрузите систему..." Ещё вирус спрятал NOD 32((( Логи от AV block remover и Farbar Recovery Scan Tool прикрепляю.

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

AdLock Privacy Ad Blocker 1.0.0.0
Adobe AIR
Adobe Flash Player 32 PPAPI
CCleaner
Reg Organizer

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: H - H:\AutoRun.exe
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: {1056e5f7-4338-11e5-8862-d050992185fd} - H:\AutoRun.exe
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: {698ffa9e-f03f-11e6-b1e9-d050992185fd} - I:\Autorun.exe
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: {b3a0aa5e-9742-11e4-8f40-806e6f6e6963} - E:\ASRSetup.exe
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: {d90feffd-a379-11e4-9669-d050992185fd} - F:\Autoplay.exe
  HKU\S-1-5-21-2438656668-3278371563-1785132686-1000\...\MountPoints2: {ddb020e7-997b-11e4-b32b-d050992185fd} - H:\AutoRun.exe
  Task: {25DD36C1-373A-4920-95B3-819CDF3EC6A2} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_414_pepper.exe [1471032 2020-08-12] (Adobe Inc. -> Adobe)
  Task: {4883EB21-2B8B-412F-9F33-90E341980E18} - System32\Tasks\Reg Organizer Applications Updates Check => C:\Program Files\Reg Organizer\RegOrganizer.exe -SilentUpdatesCheck
  Task: {6EBCF822-E8C4-4BD8-80FA-09E895450D5B} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {A8ED1FB0-D8E0-4068-B6BB-9A4A2D633E2C} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {C76BE8A9-6261-4F41-9D4E-9749628ABD83} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {EBB54B46-802E-4840-8A10-F05301D19EC0} - System32\Tasks\Reg Organizer => C:\Program Files\Reg Organizer\RegOrganizer.exe -Minimize
  Task: {EC9A3DD8-E3B2-4E3E-B318-97FE1A2C930E} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {9EF33B51-F53D-431A-8F67-5E8CCA3F7673} - System32\Tasks\AdLock Update Task-S-1-5-21-2438656668-3278371563-1785132686-1000 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\user\AppData\Local\Programs\AdLock\8b694920e9.msi" /quiet CHROME=1
  Tcpip\..\Interfaces\{C786CFA7-1EFA-4F1D-8107-E1A85B705BC9}: [NameServer] 193.37.68.40,163.172.35.26
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S2 ekrn; отсутствует ImagePath
  S3 ekrnEpfw; отсутствует ImagePath
  2022-11-09 11:50 - 2022-11-09 12:09 - 000000000 ___DC C:\Program Files\Malwarebytes
  2022-11-09 11:50 - 2022-11-09 12:09 - 000000000 ____D C:\ProgramData\Malwarebytes
  Unlock: C:\gecici_proje_klasoru
  Folder: C:\gecici_proje_klasoru
  2022-11-07 10:44 - 2022-11-07 11:18 - 000000000 ___DC C:\Program Files (x86)\wDQUfybBfTEU2
  2022-11-07 10:44 - 2022-11-07 11:18 - 000000000 ___DC C:\Program Files (x86)\oItbBtiHFBMWC
  2022-11-07 10:44 - 2022-11-07 11:18 - 000000000 ___DC C:\Program Files (x86)\GLtMYsyzMbBKjpfIeBR
  2022-11-07 10:44 - 2022-11-07 11:18 - 000000000 ___DC C:\Program Files (x86)\fYvpgCWvU
  2022-11-07 10:44 - 2022-11-07 11:18 - 000000000 ____D C:\ProgramData\hicuwASgApyDdaVB
  2022-11-07 10:44 - 2022-11-07 11:03 - 000000000 ___DC C:\Program Files (x86)\DaRxzkSNMOUn
  2022-11-07 10:41 - 2022-11-07 12:20 - 000000000 ___DC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\premises-probably
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  Toolbar: HKLM - Нет имени - {32099AAC-C132-4136-9E9A-4E364A424E17} -  Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[olga56689]

Прикрепляю!

 

[Sandor]

Зачем же вы дважды выполняли?

Пробуйте:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

[olga56689]

теперь вот такое сообщение появляется при установке и не получается установить что теперь делать?

 

[Sandor]

Установить недостающее обновление.

 

[olga56689]

В общем получилось установить только более старую версию Malwarebytes, новая даже после установки обновлений всё равно их не видит результаты проверки прикрепляю.

 

[Sandor]

всё равно их не видит

Что именно не видит? Антивирус? Его тоже нужно переустановить.
Через Панель управления - Удаление программ удалите Eset. Затем в безопасном режиме запустите EsetUninstaller.
После чего скачайте и установите его заново.

 

[olga56689]

Все работает! Eset установился. Пока буду наблюдать. Спасибо!

 

[Sandor]

Хорошо.
Проделайте завершающие шаги:

1. Malwarebytes деинсталлируйте.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[olga56689]

Вот

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET NOD32 Antivirus v.8.0.319.1 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 Language Pack Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.02 alpha (x64) v.19.02 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
WinRAR 4.01 (32-разрядная) v.4.01.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 9.7.0 v.9.7.0 Внимание! Скачать обновления
Light Alloy 4.7.1 (build 1640) v.4.7.1 (build 1640) Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Media Player v.1.8 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
VideoAdsBlocker v.2.0.0.2166 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
FLVPlayer4Free Free FLV Player 7.8.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

По возможности исправьте перечисленное. Особенно это касается хотфиксов. Если возникнут сложности, установите полный пакет обновлений.

Читайте Рекомендации после удаления вредоносного ПО