#1
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 05 Август 2022 — 10:16
Заметил вирус благодаря тому, что с метамаска списался эфириум на 15$ — всё что было на кошельке. В хроме появились расширения загруженные с компьютера, но не мной. Подозрительные процессы в автозагрузке. Появление второй учётное записи «John» с паролем и нет доступа к папкам с названиями антивирусов, что собственно не даёт ими воспользоваться.
Cureit нашёл следующее:
AdwClearner:
Malwarbytes — установить получается но нет доступа к этой папке с моей учётки.
Логи которые получилось зафиксировать по инструкции:
https://disk.yandex.ru/d/edrLrPJE39NycA
Подозрительные процессы в автозагрузке:
Расширения в хроме загруженные с компьютера, но не мной. (savematic, gifty box) — маскируются под сервисы кэшбэка.
Посмотрел кучу видео, почистил папки temp (ещё не наткнулся на данный форум к этому моменту). Что делать дальше — пока ума не приложу. Надеюсь сможете хоть чем-нибудь помочь, буду очень благодарен.
- Наверх
#2
Dr.Robot
Dr.Robot
-
- Helpers
- 3 023 Сообщений:
Poster
Отправлено 05 Август 2022 — 10:16
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%\ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%\ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
- Наверх
#3
Dmitry_rus
Dmitry_rus
-
- Helpers
- 3 528 Сообщений:
Guru
Отправлено 05 Август 2022 — 10:28
Rdpwrapper? Удаленный раб. стол (RDP) не используете?
- Наверх
#4
olker
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 05 Август 2022 — 11:22
Rdpwrapper? Удаленный раб. стол (RDP) не используете?
Нет, не использовал
- Наверх
#5
Ivan Susloparov
Ivan Susloparov
-
- Virus Analysts
-
- 163 Сообщений:
Member
Отправлено 05 Август 2022 — 13:54
Воспользуйтесь утилитой для повторного сбора логов: https://drw.sh/fnlurr
- Наверх
#6
B.Chugunov
B.Chugunov
-
- Dr.Web Staff
-
- 559 Сообщений:
Advanced Member
Отправлено 05 Август 2022 — 22:09
Вирус создал вторую учётную запись «John», предполагаю что это майнер
Знаю я одного Джона, тоже предполагаю, что он майнер. 
P.S. сори на оффтоп
По сабжу, нужен отчет fixit.
——————
best regards,
Technical support department, Doctor Web, Ltd.
- Наверх
#7
NickM
NickM
-
- Posters
- 171 Сообщений:
Member
Отправлено 06 Август 2022 — 21:24
Хмм, зарезали пост указанием ссылок на ресурсы помощи, а человек походу и продолжает мучаться (или успел прочитать и «пролечился»)..
- Наверх
#8
olker
olker
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 07 Август 2022 — 18:32
Хмм, зарезали пост указанием ссылок на ресурсы помощи, а человек походу и продолжает мучаться (или успел прочитать и «пролечился»)..
Нет, к счастью проблему решил с помощью очень крутых ребят с компьютерного форума. Если что могу дать ссылку в лс.
- Наверх
#9
NickM
NickM
-
- Posters
- 171 Сообщений:
Member
Отправлено 07 Август 2022 — 19:23
Если что могу дать ссылку в лс.
Незачем;
Нет, к счастью проблему решил с помощью очень крутых ребят с компьютерного форума.
Тогда у Вас всё хорошо 
- Наверх
#10
ummate
ummate
-
- Members
- 1 Сообщений:
Newbie
Отправлено 19 Август 2022 — 15:35
у меня жена наустанавливала игр от Алавара, теперь на всех ПК этот John учетка появилась, подскажите что делать как лечить?
Сообщение было изменено ummate: 19 Август 2022 — 15:35
- Наверх
#11
Ivan Susloparov
Ivan Susloparov
-
- Virus Analysts
-
- 163 Сообщений:
Member
Отправлено 19 Август 2022 — 17:04
у меня жена наустанавливала игр от Алавара, теперь на всех ПК этот John учетка появилась, подскажите что делать как лечить?
В первую очередь создайте отдельную тему для данного случая. В ней прикрепите отчеты, созданные данной утилитой ( https://drw.sh/xseqpa), со ссылкой на яндекс/гугл диск
- Наверх
От
Ross
Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и «патча» Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот ‘updater’ он и ругался
кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
отчёт мониторинга.txt
полная проверка каспер(после удаления).txt
Воин Моргота, конечно уже много времени прошло, но всё-же и я поздно наткнулся на данную тему, и то, потому что сам столкнулся с такой же проблемой. В итоге скажу, что это вирус-майнер, и не простой, а создаёт с помощью этого скрытого аккаунта удалённое rdp-подключение, блокирует доступ на сайты антивирусного ПО и блокирует запуск любых антивирусных утилит, типа доктор веб, kvrt и т.д. Селится он в скрытых системных папках, зайти на них тоже не даст.
Как бороться: либо скачать на флешку с другого компа утилиту AVbr и KVRT, переименовать их, например 123 и 321 и после запустить сначала AVbr (она удалит скрытых пользователей и восстановит права на папки системные и т.д….) ну а KVRT подчистит остатки и хвосты от вируса. Ну либо переустановка ОС с полным форматированием диска (не быстрое а полное). Я не стал форматировать диск и менять ОС, всё успешно вылечилось. Расписывать долго, но скажу коротко, мучался весь день, про AVbr утилиту узнал только после, в итоге вручную в безопасном режиме рылся в папках, удалял все странные файлы. У меня от шкерился под процесс RealtekHD (звуковой карты). Также вручную удалил все exe-шники с автозапуска (скрытые) и тд…
Теперь самое главное — подцепил с репака от Chovka и FitGirl (качал игру Cities Skyline градостроительный симулятор). Пренебрёг оповещением антивируса (добавил файлы в исключения) и тут понеслось… Также будьте аккуратны с репаками от Evgeny98. Вообще лучше всего репаки от Механиков, там точно нет майнеров, да и сама контора себя зарекомендовала положительно. С любыми репаками — ухо востро.
Зачастую бывает нужно удалить пользователя John в учетной записи Windows. Это может быть связано с тем, что данная учетная запись не используется, или же ее нужно удалить по другой причине. В данной статье мы расскажем, как удалить пользователя John в netplwiz.
Шаг 1: Запустите командную строку
Для начала необходимо запустить командную строку. Для этого откройте меню «Пуск» и в строке поиска введите «cmd». Выберите «Командная строка» и нажмите правую кнопку мыши. В открывшемся меню выберите «Запуск от имени администратора».
Шаг 2: Откройте netplwiz
Чтобы удалить пользователя John в netplwiz, нужно открыть соответствующее приложение. Для этого введите команду «netplwiz» в командной строке и нажмите Enter.
Шаг 3: Выберите пользователя John
В открывшемся окне выберите вкладку «Пользователи». Найдите пользователя John в списке аккаунтов и выберите его.
Шаг 4: Удалите пользователя John
Нажмите на кнопку «Удалить», расположенную внизу окна. Подтвердите свое намерение удалить пользователя John.
Шаг 5: Перезапустите компьютер
Чтобы изменения вступили в силу, необходимо перезапустить компьютер. Для этого откройте меню «Пуск», выберите «Выключение компьютера» и нажмите «Перезагрузить».
После перезагрузки компьютера пользователь John будет удален из системы. Вы можете перейти в «Параметры учетной записи» для проверки, что учетная запись John больше не присутствует в списке аккаунтов.
Вывод
Удаление пользователя John в netplwiz оказалось довольно простым процессом. Следуйте нашим инструкциям и вам удастся выполнить данное действие без проблем. Не забудьте перезапустить компьютер, чтобы изменения вступили в силу.
Здравствуйте! Подскажите как разобраться с такой проблемой.
Зимой словила на комп майнера и несколько троянов, систему пролечила (Avz, Dr web, malverbytes, hitman pro, kaspersky и т.д. Системные папки (скрытые тоже) очистила от вирусных следов, файл hosts. Компьютер летает, все стабильно работает, признаков майнинга нет (отслеживаю через process hacker и anvir).
При вирусах я заметила в пользователях скрытую папку John, лечилки все эту гадость убрали, Джон пропал.
Но вчера решила перепроверить пользователей и заметила этого Джона через команду netplwiz (фото 1)
Стала искать нашего джона по панели управления, в настройках, джона не было видно. Только моя админская учетка Lenovo. Залезла в редактор реестра (фото 2) и по поиску нашла джона, изменила его значение на 1(а был 0). Джон после перезагрузки появился, при входе в систему тоже появился, был запоролен. Его пароль я поменяла через cmd.exe, хотела зайти в его учетку, а там настройка windows как в первый раз, параметры конфиденциальности (фото 3) и т.д, странно конечно, может Джонище так себя обезопасил, вдруг какие хацкеры проникнут в обитель майнинга Джона))
Фото 4, 5, 6 Джон во всей красе в настройках учётных записей.
Фото 7 — его папка в users, он их владелец, доступа к папкам нет.
Подскажите, как более правильно удалить этого товарища? Читала, что он возвращается, может как-то надо иначе его выбивать из учеток. Благодарю за ответы