Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?

Ссылка на сообщение
Поделиться на другие сайты

Автологер запускается, но на этапе открытия браузеров закрывается, я даже не успеваю понять, что происходит. Соответственно, архива с логами тоже нет.

 

В дополнение: нашел в сети, как можно запустить установку KVRT. Теперь она запускается и сразу вылетает.

Изменено пользователем Danchik
Дополнение
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этот же вирус не пускает на форум через ПК. Есть возможность зайти на форум, потому как через мобильное устройство неудобно скачивать программы?

 

После AVbr форум заработал, да и установка KVRT тоже перестала вылетать. Пока утилиты, помимо указанных, не трогаю. Что-то нужно ещё сделать? 
Отправляю логи:

CollectionLog-2022.07.12-15.11.zipAV_block_remove_2022.07.12-15.03.log
 

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, продолжаем:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    2022-07-12 15:48 - 2022-07-12 15:48 - 000000000 ____D C:\KRD2018_Data
    Unlock: C:\FRST
    Unlock: C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:19 - 000000000 ____D C:\KVRT2020_Data
    2022-07-11 21:32 - 2022-07-12 15:04 - 000000000 ____D C:\Program Files\RDP Wrapper
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\Program Files (x86)\IObit
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\AdwCleaner
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\WavePad
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\RobotDemo
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\PuzzleMedia
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\FingerPrint
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\Evernote
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Ravantivirus
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Rainmeter
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Process Lasso
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\DrWeb
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\AV
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Bitdefender Agent
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 ____D C:\Users\Даня\AppData\Roaming\RMS_settings
    2022-07-11 21:31 - 2022-07-11 21:31 - 000000000 ___HD C:\Users\John
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{BCF0EC78-DF4A-431F-8FC7-19A753E21579}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{226087D9-83B1-4E4C-926A-8815C5387112}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{FCBCC7C2-77CE-4377-B041-EECEA33A8FB6}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{C82B177F-1929-452B-B974-67918CF52B57}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{7517CB7B-705F-4341-AE2D-096918DF7372}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{CCFAFD3E-8110-45BD-BDF2-977793C7A5CD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{C581079E-A704-4C5E-BDCA-E4AD63EC18A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Что сейчас с проблемой?

Кстати, вы не описали как проявлялось и по какой причине стали пытаться лечить.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Начну с того, что на компьютере вообще отсутствуют антивирусы ввиду того, что я придерживаюсь мнения: "Если кому-то нужно заразить устройство, он и с антивирусом это сделает".

В общем, вчера качал я игры с сайта burytor.
В одном из торрентов скачался файл "игры". При установке он назывался так же.
Я, не придав этому никакого значения, после установки, увидев всё-таки файл "Игры", решил удалить его.
После этого ноутбук начал зверски греться. По началу я подумал, что это из-за поверхности, на которой он был установлен 🤣.

Сегодня с утра, решил провести проверку на вирусы и полез на сайты для скачивания. Ни один сайт с антивирусами просто не открывался.

В конечном итоге, удалось скачать KVRT, KRD, HitmanPro, DrWeb LiveDisk. KVRT и Hitman не запускались.  
Записал на флешку KRD, а дальше Вы знаете. С LiveDisk та же лажа.
Больше придумать ничего не смог, стал звонить в поддержку DrWeb, где был отправлен разбираться сам ввиду отсутствия платной подписки.
Позвонил в поддержку Kaspersky, меня отправили на форум Community.Kaspersky. 
Введя в поиске, наткнулся на форум, на котором Вы помогли мне решить вопрос.

До сегодняшнего дня с форумом этим не сталкивался, все вирусы всегда лечились Хитманом.

Впервые узнал о том, что программа для записи логов может еще и подлечить мой компьютер :)

 

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу. Отпишусь после этого.

 

---------------------------
 

Спасибо Вам ОГРОМНОЕ. Без Вас у меня бы ничего не получилось.
 

 

Насчёт проблемы: не решилась.

До сих пор при запуске KRD просто горит черный экран и ноутбук не отвечает.

Изменено пользователем Danchik
Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Danchik сказал:

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу

Верно, уже нет смысла.

 

А смысл есть проделать завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Asterix
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • DeatherWill
      От DeatherWill
      Здравствуйте, у меня не работает компьютер.
       
      • Экран черный (монитор в режиме энергосбережения)
      • Режим восстановления (3 раза нажать на кнопку вкл/выкл) не срабатывает
      • Видно, что кулер работает
       
      Как было дело. Я словил вирус, пошел на этот сайт, мне стали помогать. 
       
      Все делал по инструкции, но на этапе повторной проверки антивирусом я, дурак, решил дополнительно прогнать проверку в безопасном режиме.
       
      Начал перезагружать в безопасный режим. Перезагрузка длилась очень долго, но все же произошла. Однако по виду казалось, что это не безопасный режим, а самый обычный (перешел с 7 винды на 11, на 7 винде сразу было понятно)
       
      Решил зайти в mcconfig и в параметрах загрузки отметить чтобы всегда загрузка происходила в безопасном режиме.
       
      Как итог: компьютер перестал работать
       
      Помогите, пожалуйста, решить проблему или, хотя бы дать понимание, что делать дальше
       
    • MadMess
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
×
×
  • Создать...