пользовался компьютером и заметил что диск С начал требовать права администратора для удаления папок и т.д. хочу дать себе права админа и увидел учетную запись John и еще неизвестную учетную запись(наверное все еще он).пошарил в интернете выяснил что это майнер. качал торрент игры и кряк офиса(потом заметил что уже есть). прикрепляю логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) non7t, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Активного майнера нет. Хвосты зачистим.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.Код:O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
прикрепляю архив с логами
Лог AV block remove ещё, пожалуйста.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите.Код:Start:: CreateRestorePoint: Task: {E9C9C710-4E11-4C75-A546-7391D4800765} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [200704 2024-05-15] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\User\Documents\task.vbs <==== ВНИМАНИЕ Virusscan: C:\Users\User\Documents\task.vbs CMD: type C:\Users\User\Documents\task.vbs C:\Users\User\Documents\task.vbs ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [Нет файла] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1234204.dll [Нет файла] AlternateDataStreams: C:\ProgramData:36478c6d [1166] AlternateDataStreams: C:\ProgramData:a7524946 [714] AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:36478c6d [1166] AlternateDataStreams: C:\ProgramData\Application Data:a7524946 [714] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:36478c6d [1166] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:a7524946 [714] AlternateDataStreams: C:\Users\User\Application Data:36478c6d [1166] AlternateDataStreams: C:\Users\User\Application Data:a7524946 [714] AlternateDataStreams: C:\Users\User\Application Data:NT [40] AlternateDataStreams: C:\Users\User\AppData\Roaming:36478c6d [1166] AlternateDataStreams: C:\Users\User\AppData\Roaming:a7524946 [714] AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\User\Documents\GTA San Andreas User Files:36478c6d [1166] AlternateDataStreams: C:\Users\User\Documents\GTA San Andreas User Files:a7524946 [714] FirewallRules: [{E191D71E-3D40-4CF0-8619-A3F4C04A8FB9}] => (Allow) C:\RAGEMP\GTA5.exe => Нет файла FirewallRules: [{4B5331EF-39D0-4AEC-BE4E-3131CB34D86D}] => (Allow) C:\RAGEMP\GTA5.exe => Нет файла FirewallRules: [TCP Query User{A990FA68-A7E7-4723-B8E6-E585DF6CE2C9}C:\program files (x86)\twelve minutes\12m.exe] => (Allow) C:\program files (x86)\twelve minutes\12m.exe => Нет файла FirewallRules: [UDP Query User{38791437-5D24-46D0-BBDD-E9CC40321FAA}C:\program files (x86)\twelve minutes\12m.exe] => (Allow) C:\program files (x86)\twelve minutes\12m.exe => Нет файла FirewallRules: [TCP Query User{69F2403F-9227-4958-B3E2-DFF7810B6C89}C:\program files (x86)\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\program files (x86)\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла FirewallRules: [UDP Query User{83D1188F-0625-492A-A080-4A41E2F1F55A}C:\program files (x86)\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\program files (x86)\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла FirewallRules: [TCP Query User{A5119BAD-1FD6-43FD-A33A-415A21DAB56D}C:\program files (x86)\car for sale simulator 2023\car for sale simulator 2023.exe] => (Allow) C:\program files (x86)\car for sale simulator 2023\car for sale simulator 2023.exe => Нет файла FirewallRules: [UDP Query User{2843EBB1-A341-4DBE-9F20-04647E1C51C4}C:\program files (x86)\car for sale simulator 2023\car for sale simulator 2023.exe] => (Allow) C:\program files (x86)\car for sale simulator 2023\car for sale simulator 2023.exe => Нет файла FirewallRules: [TCP Query User{6883045B-78E7-4829-92B7-25FA2B68F4B8}C:\program files (x86)\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Allow) C:\program files (x86)\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{7DF968C3-A439-4C66-9895-980A7B1125A9}C:\program files (x86)\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Allow) C:\program files (x86)\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла FirewallRules: [{D4D24094-FE2C-4865-B90F-9998BF5B508B}] => (Allow) C:\Program Files (x86)\Apowersoft\ApowerMirror\ApowerMirror.exe => Нет файла FirewallRules: [{5C2928D5-3BFE-4B9D-9BE5-B403E97BD3B6}] => (Allow) C:\Program Files (x86)\Apowersoft\ApowerMirror\ApowerMirror.exe => Нет файла FirewallRules: [{A33F600B-FC17-4DE8-A587-99E0C0EB39F1}] => (Allow) C:\Program Files (x86)\OSTotoSoft\DriverTalent\DriverTalent.exe => Нет файла FirewallRules: [{7E790A54-7283-4A83-9CDE-7251FA7B71B7}] => (Allow) C:\Program Files (x86)\OSTotoSoft\DriverTalent\LDrvSvc.dll => Нет файла FirewallRules: [{E722DA1A-D006-4D4C-86AB-E2CEA4DCCBC3}] => (Allow) C:\Program Files (x86)\OSTotoSoft\DriverTalent\download\MiniThunderPlatform.exe => Нет файла FirewallRules: [{085E50D6-3931-4FA1-9C34-E482FEDB42EE}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла Reboot: End::
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
WBR,
Vadim
логи:
на всякий случай напишу что VBS скрипт(task) который был в документах относился к Microsoft Edge, при каждом запуске он выдавал ошибку что не мог найти его, но там было прописано если нажму на кнопку End то что то произойдет
Кажется, скрипт включает режим разработчика для расширений, видел в другой теме.
Мусор почистили, что-то ещё беспокоит?
WBR,
Vadim
удостоверился что майнера нет и лишнюю запись удалили, но только в списке пользователей так и осталась неизвестная учетная запись(S-1-19.....) может у нее забрать все права? а так больше ничего не беспокоит
Последний раз редактировалось non7t; 30.05.2024 в 15:12.
Кроме User, активных нет. Это в свойствах безопасности видно? Могло от Джона остаться, но права отбирать смысла нет.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
да,в безопасности видно. но по вашим словам не буду беспокоиться)
Уважаемый(ая) non7t, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
