Пользователь John, невозможность удаления Avast, подозрение на майнер

[toeloy]

Доброе утро!

в 2020 году жена установила avast, автоматическая работа обновления и всё.

Перестал стабильно работать компьютер моей жены, разнообразные ошибки, перезапуски, сам о проблеме узнал только когда не получилось у неё войти в учётную запись, неправильный пароль и т.п
с флешки установщика 10 вошёл и пробовал своими знаниями и умениями вычистить пользователя Jonh. устанавливал av block remover, пробовал удалять avast, чистить реестр и вручную все подозрительные файлы удалял. В безопасном режиме и в обычном. В запущенных службах, пробовал отключить автозапуски аваста - по итогу, всё плохо, изменения не принимаются.
Не могу понять что за скрипт такой, как ты не вычищай, после перезагрузки всё опять по прежнему - avast уже установлен в папке, John составляет компанию.
Я не профессионал и даже не любитель, но есть подозрение на теневое копирование тома windows 10.
1. Хотел бы привести систему в стабильное состояние, конечно без John, Avast и других программ. Напишите пожалуйста что для этого нужно.
2. Если сделать это не представляется возможным, то чистая Windows.

Прилагаю 2 лога, в безопасном режиме и обычном. Сначала выполнял в безопасном, потом пробовал в обычном первый раз, лог не сохранился, аваст в это время удалялся, позже повторил после удаления Avast.

[Info_bot]

Уважаемый(ая) toeloy, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - Autorun.inf: I:\autorun.inf - open - sources\SetupError.exe x64 (file missing)
O4 - HKCU\..\StartupApproved\Run: [uTorrent] = "C:\Users\daria\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (file missing) (2021/03/08)
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations] = C:\Windows\SystemTemp\ChromiumTemp18368_806417991 -> DELETE (file missing)
O4 - HKLM\..\StartupApproved\StartupFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Avid Application Manager.lnk    ->    C:\Program Files (x86)\Avid\Avid Link\Avid Link.exe (file missing) --trayonly (2021/11/27)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - BITS Job: (download) {4D85031D-F878-46A5-9F3A-70F95F632536} - MicrosoftMapsBingGeoStore - (no URL)
O22 - Tasks: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act (file missing)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте актуальную версию утилиты AV block remove, запустие, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Удалите остатки Avast! утилитой aswclear.exe в безопасном режиме.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).