Скрытый пользователь John

@Syperlol · Регистрация: 24.09.2021

Студворк — интернет-сервис помощи студентам

Обнаружил скрытого пользователя John. Начитавшись интернетов подумал что это может быть майнер, хотя намёков на это мало. Что посоветуете сделать? Я на всякий случай убрал для Джона членство в группах Администратор и еще в двух связанных с удалённым доступом.

@thyrex · 02.02.2022, 20:26

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Syperlol · 02.02.2022, 20:55 **[ТС]**

Вот

@thyrex · 02.02.2022, 21:29

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@Syperlol · 03.02.2022, 10:41 **[ТС]**

Сделано

@thyrex · 03.02.2022, 11:25

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-929673332-2655722853-3004087540-1001\...\MountPoints2: {379d29e5-d6b9-11eb-b308-00e04c85ed03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-929673332-2655722853-3004087540-1001\...\MountPoints2: {379d333b-d6b9-11eb-b308-00e04c85ed03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-929673332-2655722853-3004087540-1001\...\MountPoints2: {541a4824-5a47-11ec-b33c-00e04c85ed03} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-929673332-2655722853-3004087540-1001\...\Run: [MediaGet2] => C:\Users\Dron\MediaGet2\mediaget.exe [10591440 2021-12-05] (Global Microtrading PTE. LTD -> MediaGet)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Host Services x64.lnk [2021-06-14] <==== ВНИМАНИЕ
ShortcutTarget: Host Services x64.lnk -> C:\Program Files\qemu\Host Services x64.exe () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:69E87FA2 [246]
AlternateDataStreams: C:\ProgramData\TEMP:A9967A61 [123]
AlternateDataStreams: C:\ProgramData\TEMP:F4C624DE [134]
HKLM\...\StartupApproved\StartupFolder: => "Host Services x64.lnk"
HKU\S-1-5-21-929673332-2655722853-3004087540-1001\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [{A402CE5B-5DE2-48BD-9FAE-78E12807850C}] => (Allow) LPort=8029
FirewallRules: [{F066801D-AEC1-4A01-89D3-7645529376DF}] => (Allow) LPort=8029
FirewallRules: [{A6025EA4-44A3-4FED-9923-3AA17AB56BA7}] => (Allow) LPort=8029
FirewallRules: [{8AECF54D-FCA1-48A2-9B94-E521F34CB412}] => (Allow) LPort=8029
FirewallRules: [{E4996669-4F8A-4828-B138-6E3E26214D0E}] => (Allow) LPort=8029
FirewallRules: [{3FE7EAD8-3E4A-4C96-A606-6522FF0AF831}] => (Allow) LPort=8029
FirewallRules: [{A51EDDF6-4930-49CA-8473-2B47B8C1334E}] => (Allow) LPort=8029
FirewallRules: [{9C1130F2-48F4-4FC3-8ABF-1BD325FDB303}] => (Allow) LPort=8029
FirewallRules: [{BAB97885-354E-4B6C-837C-4CDAEBE4EC20}] => (Allow) LPort=8029
FirewallRules: [{FFAE469A-4771-47D6-8129-ADE9F2526674}] => (Allow) LPort=8029
FirewallRules: [{DE3F1056-1F50-4963-9CFC-DC2A44BDB45E}] => (Allow) LPort=8029
FirewallRules: [{FCCEBC3C-DFF1-482C-9C2D-C23C1A09C129}] => (Allow) LPort=8029
FirewallRules: [{5B40D3B8-D316-4423-AB3D-8FE6B0B4E5FE}] => (Allow) LPort=8029
FirewallRules: [{0B22D4D2-ED9D-4135-A131-BF55C8E63088}] => (Allow) LPort=8029
FirewallRules: [{34D07F11-EFD7-45A0-8982-50DF2880F285}] => (Allow) LPort=8029
FirewallRules: [{34E85A69-BA8A-48C5-B5A7-2ADBB15ADCFA}] => (Allow) LPort=8029
FirewallRules: [{22B7D6DF-FFCA-4EDC-9262-0F12D556EE7C}] => (Allow) LPort=8029
FirewallRules: [{5C7B7F3E-578E-4C01-A687-AB7D83E91011}] => (Allow) LPort=8029
FirewallRules: [{B06BCACC-1306-4174-A675-E11A8B6B28DD}] => (Allow) LPort=8029
FirewallRules: [{11835A39-C6CF-413E-9C7A-A636A118733A}] => (Allow) LPort=8029
FirewallRules: [{B05424C9-B22F-481B-88FB-5F51E1AEF4EF}] => (Allow) LPort=8029
FirewallRules: [{66E88542-274D-4F1C-A315-D9FF84F4C2AB}] => (Allow) LPort=8029
FirewallRules: [{BAC3B95C-6C8A-4989-821E-13CCD1E41EFF}] => (Allow) LPort=8029
FirewallRules: [{CE368246-761B-4AFB-AC53-8560853F00CB}] => (Allow) LPort=8029
FirewallRules: [{1EE322F8-9D6F-46A2-93A1-F547A6CD67AB}] => (Allow) LPort=8029
FirewallRules: [{31A7D5EF-DF85-4528-968E-E87CED5CABF8}] => (Allow) LPort=8029
FirewallRules: [{F7063235-9CCD-450A-A83A-78A61ABA3A2F}] => (Allow) LPort=8029
FirewallRules: [{557ACB4A-31E5-47CB-8F67-FD292D18E245}] => (Allow) LPort=8029
FirewallRules: [{A03F07C9-8D53-4FC1-AF63-98BD6E44AC18}] => (Allow) LPort=8029
FirewallRules: [{1AA67318-F21F-41F6-9F87-8F6DD15B6A0E}] => (Allow) LPort=8029
FirewallRules: [{04709402-C106-452C-A315-31259B427EF7}] => (Allow) LPort=8029
FirewallRules: [{BD037D86-92AC-423D-BEFC-9F83ECB94FA2}] => (Allow) LPort=8029
FirewallRules: [{72218AB3-D5EA-4BE1-BF9A-1813E0283D3A}] => (Allow) LPort=8029
FirewallRules: [{B69E3DBA-6ADE-4A71-BAFB-65F583DA4A33}] => (Allow) LPort=8029
FirewallRules: [{3EE34F5A-733C-4B7D-AE8D-64DD9F1EC3B3}] => (Allow) LPort=8029
FirewallRules: [{BA7F6D88-6B39-4B67-871F-81E0C25C048A}] => (Allow) LPort=8029
FirewallRules: [{1CD27941-6E38-4471-BC3C-76EE7BADD9C9}] => (Allow) LPort=8029
FirewallRules: [{A255E3DF-BEF3-4624-B982-0F0A23CED3EE}] => (Allow) LPort=8029
FirewallRules: [{A9223D8A-237E-4F9F-B844-C2CE5C24B705}] => (Allow) LPort=8029
FirewallRules: [{12880A7D-DB8E-4E5F-9304-A07144ED81D8}] => (Allow) LPort=8029
FirewallRules: [{E7956B70-7B7D-47E3-BB3C-70DAB88D48A3}] => (Allow) LPort=8029
FirewallRules: [{F4C2FFEE-38AB-43EA-A000-D80E75E63C90}] => (Allow) LPort=8029
FirewallRules: [{0B684651-61A2-4CED-87AD-22A22A3E1AC3}] => (Allow) LPort=8029
FirewallRules: [{A174A96E-24E3-4740-A30F-DADEC9CEDFD9}] => (Allow) LPort=8029
FirewallRules: [{5D6355B4-300F-4397-8262-5B97CBD6D91C}] => (Allow) LPort=8029
FirewallRules: [{23F37A33-08F7-4547-93FE-95CC05430E8A}] => (Allow) LPort=8029
FirewallRules: [{8AAF5BAD-0A4D-4526-86EF-AAF3E65CB841}] => (Allow) LPort=8029
FirewallRules: [{35BCD6E7-836A-46DA-AD32-212604FCEAB5}] => (Allow) LPort=8029
FirewallRules: [{6AD86809-AD7D-4E0B-A9F9-7F38572B752E}] => (Allow) LPort=8029
FirewallRules: [{E6D51076-1A1D-4D59-A069-9C7DF5C83B30}] => (Allow) LPort=8029
FirewallRules: [{37B876F6-6FCF-4787-A226-994B1DE2D497}] => (Allow) LPort=8029
FirewallRules: [{D6727953-0660-4EBB-A0B4-9F3AC107C495}] => (Allow) LPort=8029
FirewallRules: [{18263BC3-98E0-4819-B91A-E6A313FE1001}] => (Allow) LPort=8029
FirewallRules: [{ACF250D9-A5F1-434E-A014-CE0BCC7226E2}] => (Allow) LPort=8029
FirewallRules: [{FD746F7A-38BB-4962-AB88-F08A5D35F056}] => (Allow) LPort=8029
FirewallRules: [{969D000B-7A32-444D-B467-4DC47754235B}] => (Allow) LPort=8029
FirewallRules: [{8AF41437-4257-4AB4-AD7E-80E44F20651A}] => (Allow) LPort=8029
FirewallRules: [{CE537127-CFB8-448C-A1B2-D03B2082875C}] => (Allow) LPort=8029
FirewallRules: [{406BA92A-D1F3-49A7-B827-A77376C455CB}] => (Allow) LPort=8029
FirewallRules: [{E955EDBC-EA42-4621-8223-B223455ADFEC}] => (Allow) LPort=8029
FirewallRules: [{BC76CC5E-7FF5-4526-9E23-F69AD72E06A3}] => (Allow) LPort=8029
FirewallRules: [{5192A0CB-B4CE-4F55-AE83-6CB2CA7550B2}] => (Allow) LPort=8029
FirewallRules: [{7879F411-33A2-4E6E-B186-2403EE52A484}] => (Allow) LPort=8029
FirewallRules: [{FE2AED45-C9BC-45D9-9E70-A45B4763E4A4}] => (Allow) LPort=8029
FirewallRules: [{F3D7127C-14E2-4E62-8B91-216CEC0EDBDE}] => (Allow) LPort=8029
FirewallRules: [{E20140F6-632A-4BF7-AAA2-245FA7AB1A6E}] => (Allow) LPort=8029
FirewallRules: [{8BFB5BBC-351E-4369-A5B9-940A9A0A1D46}] => (Allow) LPort=8029
FirewallRules: [{C2EF3A51-BCA2-43A2-A264-CB637DF7EC0A}] => (Allow) LPort=8029
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Syperlol · 03.02.2022, 11:56 **[ТС]**

Вот.

@thyrex · 03.02.2022, 12:11

Проблема решена?

@Syperlol · 03.02.2022, 16:26 **[ТС]**

Да, спасибо

@thyrex · 03.02.2022, 19:13

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	02.02.2022, 20:26
	Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	02.02.2022, 21:29
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	03.02.2022, 12:11
	Проблема решена? 0

@Syperlol 0 / 0 / 0 Регистрация: 24.09.2021 Сообщений: 18
	03.02.2022, 16:26 [ТС]
	Да, спасибо 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	03.02.2022, 19:13
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0