Вирус-майнер создал учетную админскую учетную запись JONH

**JafarEl** · 19.09.2022, 19:25

Всем привет словил очень неприятного виря. Он создал админскую учетную запись Jonh, не дает установить ни одно вирусное ПО, произвольно закрывает бараузер и диспетчер задач, а по закрытию диспетчера начинает люто майнить моим процом на 100%. А диспетчере задач висят 2 вирусных процесса - Rearltek HD, и Winserever, оба файла ссылаются на супер скрытые папки в ProgramData. Собрать логи в обычном режиме не представляется возможным, т.к. автологгер (AVZ) убивается этим вирусом на этапе "сейчас запустятся бразуер хром и ИЕ". Могу собрать логи в безопасном режиме. Помогите, пожалуйста очень хочется спасти винду.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.09.2022, 19:28

Уважаемый(ая) JafarEl, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 19.09.2022, 22:19

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

**JafarEl** · 19.09.2022, 23:33

Сообщение от Vvvyg

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Жесть этот вирь судя по всему делал реальный профиль. Убивает он AVB, как только начинается скан. Переименование не помогает. Лог есть но он бестолковый.

**Vvvyg** · 20.09.2022, 07:22

Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

А в безопасном режиме? Если не отработает, сделайте такой лог.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**JafarEl** · 20.09.2022, 15:23

В безопасном режиме прогнал AVB, он очистил пользователя Jonh и очистил hosts. Вот логи.

**Vvvyg** · 20.09.2022, 15:31

Теперь соберите логи Autologger в обычном режиме.

**JafarEl** · 20.09.2022, 15:40

Готово.

**Vvvyg** · 20.09.2022, 17:50

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Jafar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk"    -> ["C:\Users\Jafar\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\Jafar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\San Andreas Multiplayer.lnk"    -> ["D:\Grand Theft Auto - San Andreas\samp.exe"]
>>>  "C:\Users\Jafar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\Uninstall.lnk"        -> ["D:\Grand Theft Auto - San Andreas\SAMPUninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Network Server.lnk"     -> ["C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe"]
>>>  "C:\Users\Jafar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CCleaner Browser.lnk"  -> ["C:\Program Files (x86)\CCleaner Browser\Application\CCleanerBrowser.exe"  =>> --check-run=src=quicklaunch]
>>>  "C:\Users\Jafar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"   -> ["C:\Users\Jafar\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Tasks: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmMon.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\sedlauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**JafarEl** · 20.09.2022, 20:37

Сделал это.

**Vvvyg** · 20.09.2022, 21:23

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**JafarEl** · 20.09.2022, 21:53

Понял. Огромная благодарность лично Вам за помощь, и этому форуму за то что он существует. Очень сильно выручили.

Вирус-майнер создал учетную админскую учетную запись JONH (заявка № 227824)

Опции темы