Обнаружил майнер John, прошу помощи!

Printable View

24.12.2024, 03:42
Di9rem

Вложений: 3

Обнаружил майнер John, прошу помощи!

Это моя последняя попытка вылечить данную ОС.

Ранее уже был найден майнер примерно месяца 2-3 назад (и надеюсь ликвидирован если всё было сделано правильно). Тот вирус был очень наглый и выявить его не составило труда, он закрывал сайты с антивирусами и браузер при попытке найти информацию о нём, после чистки и перестала реагировать кнопка windows на клавиатуре и не кликается до сих пор кнопка пуск (понимаю мучения излишни, но не хочется сносить ОС, всё как всегда).

Ближе к делу, обнаружил что ПК подвисает без видимых на то причин, а диспетчер задач при открытии показывает нагрузку ЦП в потолок на несколько секунд, далее как будто что-то закрывается и/или прячется и всё приходит в норму. Если диспетчер задач оставить открытым вплотную до завершения сеанса, то ПК ведёт себя как обычно и никаких аномалий в работе не наблюдается. Решил углубиться в вопрос, так как заподозрил неладное, гуглил симптомы (попутно обнаружил что процесс защитника виндовс самоликвидируется при попытке его запустить, далее наткнулся на одну из тем с вашего сайта. По стартовой инструкции загрузил AVBR однако тот не запускается и процесс по всей видимости также ликвидируется вирусом (перепробовал и запуск с безопасного режима, и смену имени файла и перемещение в разные директории - результат один, не запускается).

Далее при попытке разобраться с ситуацией встроенными в ОС способами (точкой восстановления) при загрузке моего профиля пользователя вылезло окно с уведомлением о переполненном буфере (или как-то так, и якобы мои данные могут быть раскрыты), затем выбрав восстановление с точки был обнаружен сам профиль John. Потратив немного времени на осмысление и поиск информации об этом наткнулся на ресурс с GitHub и утилиту MinerSearch. Вот она сразу поняла что с пк что-то не так и выявила проблему (логи работы программы также приложу). По итогам не могу понять как быть дальше и ликвидирована ли угроза, так как встроенный защитник по-прежнему отказывается запускаться, а другие антивирусы (MalwareBytes, CureIt и тд) в упор не видят ничего и говорят что всё чисто.

Прошу помощи, прилагаю все вышеупомянутые логи в т.ч и необходимый вам.
24.12.2024, 03:44
Info_bot

Уважаемый(ая) [B]Di9rem[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
24.12.2024, 08:59
Vvvyg

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O23 - Driver S3: WinRing0_1_2_0 - C:\ProgramData\WindowsTask\WinRing0x64.sys (file missing)
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000
O27 - Account: (Hidden) User 'John' is invisible on logon screen[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
24.12.2024, 12:44
Di9rem

Вложений: 2

Готово, логи прилагаю
24.12.2024, 15:51
Vvvyg

Системный защитник сами отключали?

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-03-28 23:51 - 2024-12-03 08:02 - 000000000 _____ () C:\ProgramData\unins000.exe
AlternateDataStreams: C:\ProgramData\unins000.exe:5FA9ECDA59 [4298]
AlternateDataStreams: C:\ProgramData\unins000.exe:8A5F68F8C0 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:44160E2A7F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:5BB0287D59 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:144CE97748 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:A1B51D7DB1 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:E8C07D5743 [4298]
AlternateDataStreams: C:\Users\Кир\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{78850012-7B7E-4B34-B9F3-511A1C389682}] => (Block) LPort=445
FirewallRules: [{F811631F-2020-44F4-9120-48BF7BFE52BB}] => (Block) LPort=445
FirewallRules: [{80A9FD8E-C201-44D6-BCE1-69F9B3649549}] => (Block) LPort=139
FirewallRules: [{2286638A-804B-4776-9AE7-0971BEE1F9F7}] => (Block) LPort=139
FirewallRules: [TCP Query User{73D6E8BE-70B1-4747-9C5E-373721E30F42}C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe] => (Allow) C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe => Нет файла
FirewallRules: [UDP Query User{11F273C1-0BF5-45BC-B16E-33DAF4BEF405}C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe] => (Allow) C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe => Нет файла
FirewallRules: [{E8658312-CE7C-4736-A355-572E170C1EF3}] => (Block) C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe => Нет файла
FirewallRules: [{FD5E487A-6CEC-46FC-A21E-CD6F09491060}] => (Block) C:\program files (x86)\doomsday\doomsday_1.36.1\doomsday.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
24.12.2024, 16:42
Di9rem

Вложений: 1

Готово, после перезагрузки выпал BSOD, далее произошла еще перезагрузка, логи прилагаю.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

По поводу системного защитника точно не смогу припомнить, но высока вероятность того что был отключен вручную какое-то время назад (примерно более месяца, с тех пор особо не обращал внимание на него, а зря). По состоянию ПК: нагрузка на ЦП всё также сохраняется и спадает при открытии диспетчера задач, а защитник всё также отказывается запускаться. Интересно еще было бы превентивную меру принять в плане получения информации, что это за John такой и откуда берется (помимо очевидных вариантов)?
24.12.2024, 22:17
Vvvyg

[QUOTE=Di9rem;1532491]По состоянию ПК: нагрузка на ЦП всё также сохраняется и спадает при открытии диспетчера задач[/QUOTE]
С майнером справился MinerSearch, здесь только устраняем его последствия. Кратковременный всплеск загрузки при запуске дисветчера процессов - нормально, он тоже потребляет ресурсы при старте.

[QUOTE=Di9rem;1532491]а защитник всё также отказывается запускаться.[/QUOTE]
Попробуем починить.

[QUOTE=Di9rem;1532491]Интересно еще было бы превентивную меру принять в плане получения информации, что это за John такой и откуда берется (помимо очевидных вариантов)?[/QUOTE]
Вам виднее, какой кряк, активатор, ломаную игру ставили, с ними в нагрузку идёт.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore:on
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ

StartRegedit:
Windows Registry Editor Version 5.00
[SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=-
"DisableOnAccessProtection"=-
"DisableScanOnRealtimeEnable"=-
EndRegedit:

StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
EndPowerShell:

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
25.12.2024, 00:45
Di9rem

Вложений: 1

Готово, логи прилагаю
25.12.2024, 07:47
Vvvyg

Скриптом не удалились исключения Защитника, внесённые майнером, удалите эти вручную:[CODE]C:\Windows\SysWow64\unsecapp.exe
C:\Program Files\RDP Wrapper
C:\ProgramData\WindowsTask\AppModule.exe
C:\ProgramData\WindowsTask\AMD.exe
C:\ProgramData
C:\ProgramData\WindowsTask\audiodg.exe[/CODE]
Параметры> обновления и безопасности > защита от вирусов.
Выберите"Управление настройками".
Выберите "Добавить или удалить исключения".
В списке текущих исключений выберите упомянутые и - "Удалить".

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Java 8 обязательно обновите до [URL="https://www.java.com/ru/download/"]текущего билда[/URL], у Вас устаревшая версия со множеством уязвимостей.

На этом всё.