Доброго времени суток, я с проблемой, сокрее всего у меня John, т.к. я в файлах FRST увидел сверху учетные записи John что то там enable, ... моя учетная запись wolfoleg8 enable, все началось после устновления мной MS с неоф. сайта, я забыл, что можно его установить с официального сайта, а потом активировать через KMS Auto, майнер явно есть на моем пк, т.к., когда я долго играю или просто пользуюсь браузером, у меня начинает грузиться процессор в 100 процентов и видеокарта в 100 процентов (3070, в игре требуется 2,5 гб видеопамяти, а начинает использоваться 6,9) и компьютер начинает из-за этого тормозить, еще одно доказательство этому - то что, при установке антивируса, у меня то не открывались сайты, то не открывались сами антивирусы и утилиты против вирусов, с ошибкой: "операция отменена из-за ограничений действующих на этом компьютере обратитесь к администратору", этот недуг я решил при помощи редактора реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\ ,я долго пытался удалить майнер своими силами, не получилось.. Обращаюсь с надеждой к вам! Ниже прикладываю файлы FRST и AV_block_remover, использовал доктор веб SP, доктор веб курейт, ничего не видят вирусного на пк, 360 тотал секьюрити также ничего не видит..
Решена Вирус майнер John
- Автор темы wolfoleg
- Дата начала
-
- Теги
- john майнер майнер john
- Статус
- Сообщения
- 3,879
- Реакции
- 2,431
Прикреплению свои логи:
Извиняюсь, что занимался самолечением, не думал, что не получится, надеялся на легкость случая, но вроде ничего не натворил ужасного, я просмотрел по правилам оформления, вроде все добавил, или еще что-то надо добавить?
Извиняюсь, что занимался самолечением, не думал, что не получится, надеялся на легкость случая, но вроде ничего не натворил ужасного, я просмотрел по правилам оформления, вроде все добавил, или еще что-то надо добавить?
Последнее редактирование:
- Сообщения
- 25,060
- Решения
- 5
- Реакции
- 13,706
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
- Сообщения
- 3,879
- Реакции
- 2,431
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Все еще есть, видеопамять 7 гигабайт забита, просто я так понимаю он включается, когда меня нет у пк долгое время,
- Сообщения
- 3,879
- Реакции
- 2,431
Никаких следов работающего майнера, а вот постороннюю учетку John почему-то не удалили. Зачищаем мусор
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-4055667895-3731672870-1863587917-1003\...\Run: [YandexBrowserAutoLaunch_E1651A9B533B54065F4D9B4B4B81DD65] => "C:\Users\wolfoleg8\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {07CC4B28-14DF-449C-B35C-CED4E8717CBC} - \WpsUpdateTask_wolfoleg8 -> Нет файла <==== ВНИМАНИЕ
Task: {F3E79EA1-86AD-4FB2-B4BC-B7CD01760E57} - \WpsExternal_wolfoleg8_20230627174055 -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 wpscloudsvr; "C:\Program Files (x86)\Kingsoft\office6\wpscloudsvr.exe" LocalService [X]
CMD: user John /delete
CustomCLSID: HKU\S-1-5-21-4055667895-3731672870-1863587917-1003_Classes\CLSID\{28A80003-18FD-411D-B0A3-3C81F618E22B}\InprocServer32 -> C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\kwpsmenushellext64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4055667895-3731672870-1863587917-1003_Classes\CLSID\{7C360CF9-D475-44FC-8163-AD6C95CF5F5D}\InprocServer32 -> C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\kmso2pdfplugins64.dll => Нет файла
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\PROGRA~1\MICROS~2\Office16\GROOVEEX.DLL -> Нет файла
ContextMenuHandlers1_S-1-5-21-4055667895-3731672870-1863587917-1003: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-4055667895-3731672870-1863587917-1003: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\kwpsmenushellext64.dll -> Нет файла
FirewallRules: [{E987D338-6F02-4E38-A362-6836FF08B024}] => (Allow) C:\Users\wolfoleg8\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{F59F941E-FB7E-4FFD-B898-2CD63B6D9428}] => (Allow) C:\Users\wolfoleg8\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{64719111-043F-4F3D-9C66-35D62DC0247B}] => (Allow) C:\Users\wolfoleg8\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{F1C34931-4B8D-4F32-8AAE-DEB0A6A754F6}] => (Allow) C:\Users\wolfoleg8\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{3115261F-5DA7-4F06-B8A3-FCCA3A96F00E}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe => Нет файла
FirewallRules: [{76A15D15-BF7C-479B-93C2-F450AF64B592}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe => Нет файла
FirewallRules: [{3D5C38A7-9BD5-45B4-878C-6750F9645D2D}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe => Нет файла
FirewallRules: [{6EB5A5F5-1FCB-4089-BC5D-B4CA6FD9405B}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe => Нет файла
FirewallRules: [{45781922-8A55-4CEE-9E98-AAB3BA183D0B}] => (Allow) C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\wps.exe => Нет файла
FirewallRules: [{46BEE0D4-B2F2-4F5A-90D9-49AD979CEE2D}] => (Allow) C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\wpscloudsvr.exe => Нет файла
FirewallRules: [{75E5DB6F-63D2-4BDE-AD34-86AF1B565B2C}] => (Allow) C:\Users\wolfoleg8\AppData\Local\Kingsoft\WPS Office\11.2.0.11516\office6\promecefpluginhost.exe => Нет файла
FirewallRules: [{251CBB66-F4D2-4923-8EFC-7DBA2BD85A5D}] => (Allow) D:\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{B8A5D76A-DA3F-4D6A-A7DC-80A3C74A8A65}] => (Allow) D:\360\Total Security\360TsLiveUpd.exe => Нет файла
Unlock: C:\DrWeb Quarantine
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Сообщения
- 25,060
- Решения
- 5
- Реакции
- 13,706
- Сообщения
- 25,060
- Решения
- 5
- Реакции
- 13,706
Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.38.3 Внимание! Скачать обновления
LibreOffice 7.5.1.2 v.7.5.1.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.122.0611.0001 [+]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.6.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46828 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC Media Player , версия 0.0.0.1 v.0.0.0.1 Внимание! Скачать обновления
Проверяйте еще раз проблему, если все хорошо, выдадим финальные рекомендации.
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.38.3 Внимание! Скачать обновления
LibreOffice 7.5.1.2 v.7.5.1.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.122.0611.0001 [+]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.6.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46828 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC Media Player , версия 0.0.0.1 v.0.0.0.1 Внимание! Скачать обновления
Проверяйте еще раз проблему, если все хорошо, выдадим финальные рекомендации.
Попользовался уже достаточное время компьютером, также оставлял его без движений и наблюдал, майнер не запускался, СПАСИБО Вам огромное! Сейчас обновлю, все, что Вы порекомендовали, дайте пожалуйста ссылочку на донатик Вам, поддержу хоть немного!
- Сообщения
- 25,060
- Решения
- 5
- Реакции
- 13,706
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
- Статус
Похожие темы
- Закрыта
- Закрыта
