Поймал майнер, который создал мне скрытого пользователя John

@abikosik3000 · Регистрация: 27.02.2022

Author24 — интернет-сервис помощи студентам

Поймал майнер,
Антивирусники не запускались
Полазил по форуму , пошаманил, касперский запустился,
майнер вроде удалился, но наверное не до конца все почистилось и пользователь John остался
например сейчас мне в настройках "Безопасность виндовс" пишет что "Этим параметром управляет ваш адимнистратор"
Помогите пожалуйста люди добрые , лог прикладываю

@abikosik3000 · 25.11.2022, 12:46 **[ТС]**

майнер поймал когда скачал kms активатор винды,
я еще и скрипт консольный случайно запустил тогда

@abikosik3000 · 25.11.2022, 12:50 **[ТС]**

на всякий случай ,еще логи от другой версии
Avbr прикладываю

@Sandor · 25.11.2022, 13:30

Здравствуйте!

AVbr запускали до Автологера или после?
Если второе, запустите ещё раз Автологер и прикрепите новый CollectionLog.

@abikosik3000 · 25.11.2022, 15:01 **[ТС]**

Здравствуйте!!
вообще до автологера, но на всякий случай еще раз запустил автологер, файл прикладываю

@Sandor · 25.11.2022, 15:05

Сообщение от Sandor

Если второе

Это я допустил ошибку, должно быть "если первое" ))

Внимание! Рекомендации написаны специально для пользователя abikosik3000. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@abikosik3000 · 25.11.2022, 15:13 **[ТС]**

Спасибо!
Bonjour удалил
просканировал программой результат прикрепляю

@Sandor · 25.11.2022, 15:47

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус, но сеть не отключайте.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1383411869-944573180-3323532067-1001\...\MountPoints2: {8ac604f4-85b9-11ec-81d6-fb5f6e8c58ed} - "E:\Autoplay.exe" -auto
Virustotal: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AsDesktop.scf
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll => Нет файла 
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll => Нет файла 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{97467E00-D195-475B-B184-E43418488A54}] => (Allow) LPort=1688
FirewallRules: [{6F87CC3D-1157-4690-8C6B-1B47D7476B04}] => (Allow) LPort=1688
FirewallRules: [{D53B68F1-57B6-4C91-B7AB-03403265C3C4}] => (Allow) LPort=1688
FirewallRules: [{9157D8FF-306E-4502-8110-DDCAF06BB531}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{3CD57BC2-DEF0-4159-B1A3-B2BCB8C20406}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@abikosik3000 · 25.11.2022, 17:09 **[ТС]**

Сделал

@Sandor · 26.11.2022, 19:52

Проблема решена?

@abikosik3000 · 27.11.2022, 16:49 **[ТС]**

Спасибо вам огромное!!! Вирус больше не тревожит
Но разве что мой аккаунт, хоть и входит в группу администраторы, всё еще не может управлять настройками виндовс дефендера

@Sandor · 28.11.2022, 09:27

Соберите ещё раз логи FRST.txt и Addition.txt

@abikosik3000 · 29.11.2022, 11:53 **[ТС]**

Извиняюсь за долгий ответ!

@Sandor · 29.11.2022, 12:13

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
startpowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
endpowershell:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@abikosik3000 · 29.11.2022, 15:16 **[ТС]**

Спасибо
Выполнил, некоторые предупреждения красным пропали но защиту всё равно включить виндовс не позволяет
Мне вообщем-то виндовс дефендер не критично нужен, просто волнуюсь не критична ли эта уязвимость

@abikosik3000 · 29.11.2022, 15:17 **[ТС]**

прикладываю отчет

@Sandor · 29.11.2022, 15:33

Попробуем ещё один скрипт:

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
StartBatch:
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
Endbatch:
startpowershell:
# 10-26-2022 M. Naggar
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
Set-Service -Name windefend -StartupType Automatic -force
Get-Service windefend | Select-Object -Property Name, StartType, Status
Set-Service -Name securityhealthservice -StartupType manual -force
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:

startpowershell:
    Write-Output "updating"
    Update-MpSignature
    Write-Output "scanning"
    Start-MpScan -ScanType QuickScan
    Remove-MpThreat
    Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
    Remove-MpThreat
    Start-MpScan -ScanType customScan -ScanPath "%userprofile\AppData\Roaming"
    Remove-MpThreat
EndPowerShell:

startpowershell:
# Check computer status again after setting to make sure changes were applied
    Get-MpComputerStatus
    Get-MpPreference
    Get-MpThreatDetection
# get statuses of services
Get-Service BITS | Select-Object -Property Name, StartType, Status
Get-Service Dhcp | Select-Object -Property Name, StartType, Status
Get-Service EventLog | Select-Object -Property Name, StartType, Status
Get-Service EventSystem | Select-Object -Property Name, StartType, Status
Get-Service mbamservice | Select-Object -Property Name, StartType, Status
Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
Get-Service msiserver | Select-Object -Property Name, StartType, Status
Get-Service nsi | Select-Object -Property Name, StartType, Status
Get-Service RasMan | Select-Object -Property Name, StartType, Status
Get-Service rpcss | Select-Object -Property Name, StartType, Status
Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
Get-Service sense | Select-Object -Property Name, StartType, Status
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
Get-Service VSS | Select-Object -Property Name, StartType, Status
Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
Get-Service windefend | Select-Object -Property Name, StartType, Status
Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
Get-Service wscsvc | Select-Object -Property Name, StartType, Status
Get-Service wuauserv | Select-Object -Property Name, StartType, Status
EndPowerShell:

Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@abikosik3000 · 29.11.2022, 15:49 **[ТС]**

все также(

@Sandor · 29.11.2022, 16:25

Вероятно вы пользовались некими твикерами, отключающими Защитник.

Попробуем следующее, выполнять в безопасном режиме.

Скачайте вложенный файл, распакуйте его и запустите. С предложением слияния согласитесь.
Перезагрузитесь в нормальный режим и проверьте.

@abikosik3000 · 29.11.2022, 18:17 **[ТС]**

Спасибо большое, помогло!

@abikosik3000 0 / 0 / 0 Регистрация: 27.02.2022 Сообщений: 12
	25.11.2022, 12:46 [ТС]	2
	майнер поймал когда скачал kms активатор винды, я еще и скрипт консольный случайно запустил тогда 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	25.11.2022, 13:30	4
	Здравствуйте! AVbr запускали до Автологера или после? Если второе, запустите ещё раз Автологер и прикрепите новый CollectionLog. 1

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	25.11.2022, 15:05	6
	Сообщение от Sandor Если второе Это я допустил ошибку, должно быть "если первое" )) Внимание! Рекомендации написаны специально для пользователя abikosik3000. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Bonjour Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	26.11.2022, 19:52	10
	Проблема решена? 0

@abikosik3000 0 / 0 / 0 Регистрация: 27.02.2022 Сообщений: 12
	27.11.2022, 16:49 [ТС]	11
	Спасибо вам огромное!!! Вирус больше не тревожит Но разве что мой аккаунт, хоть и входит в группу администраторы, всё еще не может управлять настройками виндовс дефендера Миниатюры 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,054
	28.11.2022, 09:27	12
	Соберите ещё раз логи FRST.txt и Addition.txt 0

@abikosik3000 0 / 0 / 0 Регистрация: 27.02.2022 Сообщений: 12
	29.11.2022, 15:16 [ТС]	15
	Спасибо Выполнил, некоторые предупреждения красным пропали но защиту всё равно включить виндовс не позволяет Мне вообщем-то виндовс дефендер не критично нужен, просто волнуюсь не критична ли эта уязвимость 0

@abikosik3000 0 / 0 / 0 Регистрация: 27.02.2022 Сообщений: 12
	29.11.2022, 18:17 [ТС]	20
	Спасибо большое, помогло! 0