Решена Всё таки словил майнер John

[Greedy]

Добрый день. Поймал John'а, но подходящей мне темы не нашел на форуме. Перестал запускаться Nvidia Share, экспериментальным путем я установил, что при запуске он удалялся. Сделал скан CureIt'ом, нашел 12 проблем и "вылечил". После чего нашел информацию про AV Block Remover, который я скачал, но он не запускался ни под каким именем. Я решил сделать так, как все советуют – запустить его из безопасного режима. Но в безопасном режиме крашился процесс Microsoft Windows и совсем не работал Explorer. Я решил перезагрузиться в обычном режиме и тут меня накрыло – не открылось окно для ввода пароля, просто мутный экран и кнопки специальных возможностей, раскладки и выкл/ребут. Если зайти в Windows BootLoader, то при восстановлении мой пароль от моей учетки не подходит, а рядом висит учетка John. Помогите, пожалуйста, на ПК недавно (вчера) попала куча очень важных (для меня) фотографий и документов.

Система Win10x64 22H2, стоит на SSD

 

[Greedy]

Удалось зайти в безопасный без сетевых драйверов с доступом к раб.столу и прочему

 

[akok]

попала куча очень важных (для меня) фотографий и документов.

Это, вы что-то перемудрили, или у вас несколько видов вредоносного ПО сидит. Майнер вредный, но не настолько разрушительный

AV Block Remover - не только другое имя нужно, но еще и подпапка с рандомным именем.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Greedy]

Я не говорил "пропала", я сказал "попала". Но файлы я уже спас.
Что вы написали пытаюсь сделать с помощью телефона в роли носителя сейчас.

 

[Greedy]

Мыльный экран логина был из-за флага безопасной загрузки с восстановлением ActiveX (???), я отключил его через безопасный режим и зашел в обычный режим Windows.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {24926968-04B8-4F15-BF21-7E86B4BF5044} - System32\Tasks\GPU Tweak III => C:\Program Files (x86)\ASUS\GPUTweakIII\GPU Tweak III.exe  (Нет файла)
  2023-08-28 11:26 C:\ProgramData\princeton-produce
  FirewallRules: [{6F388E75-04F5-4E3C-8EC2-8EECA21B3ED2}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{82B50840-F668-4D02-AE19-F3C54C9EE771}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{E043F8A9-5BBC-4DE9-8B5E-2801A8B3BFFC}] => (Block) LPort=445
  FirewallRules: [{03BB2606-A757-43CB-B5D7-AC9C97EB6B46}] => (Block) LPort=445
  FirewallRules: [{146E65AA-3481-4D0D-A7FB-63C3F2EE2041}] => (Block) LPort=139
  FirewallRules: [{50C7EA17-E1F2-4F1A-8EB1-E8631858BC9C}] => (Block) LPort=139
  FirewallRules: [{56736659-A057-4FF0-9828-4A47BBAB0E72}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В логах только мусора немного, от майнера.

 

[Greedy]

Спасибо большое за решение моей проблемы. На заметку тем, кто будет читать этот топик – в папке с загрузками обнаружена визуально пустая папка Torrent Game на 100мб, которой ранее там визуально не было, хотя дата создания 28 августа 2023.

 

[thyrex]

Сама эта папка просто так не появляется. Это результат скачивания и запуска репака какой-то игры. Отсюда и майнер.

 

[akok]

Папку тоже долой, если не запускали после лечения установку из папки, то от майнера избавились.

 

[Greedy]

Да, папка неприметно висела среди множества других. Это был псевдопак Jewel Quest с Rutor, я тогда еще посмеялся с того, насколько банально все выглядело (папка Torrent Game, безликий Setup и 7 bin файлов), но видимо достаточно было скачать, чтоб заразить ПК.

 

[thyrex]

Не просто скачали, а запустили. Обычно самый первый bin-файл имеет дату, близкую к дате скачивания, и содержит все компоненты майнера.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Greedy]

Лог

 

[akok]

Исправьте по возможности и на этом в принципе все.

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-bit) v.6.00.0 Внимание! Скачать обновления
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.12.8 (10232) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.9.0 Standard v.15.9.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.117.0.5938.92 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^