Прошу помочь в удалении вируса

[Неудачник]

Здравствуйте. 

 

Прошу помочь в удалении вредоносной программы. Симптомы те же, что и в нескольких темах этого раздела:

- повышенная нагрузка сказывается на производительности ПК. 

- блокируется доступ на ресурсы с антивирусами в браузере

- не даёт инсталлировать антивирусы (drweb, kvrt, kaspersky стартовый) 

- закрывает окно диспетчера задач

Следуя советам из этого раздела скачал AVbr, после запуска taskhostw.exe программа закрывается, не успевает завершить сканирование и сделать дамп логов, иногда даже не успевает запустить сканирование. Как поступить в такой ситуации? 

Заранее извиняюсь, прикреплять файлы будет трудно, т.к. сижу теперь на смартфоне, зараза блокирует доступ на форум. 

[Неудачник]

UPD: скачал автологгер, при работе так же закрывается, как и AVbr, сразу после автоматического открытия браузеров. 

 

UPD: в безопасном режиме KVRT сработал, но после ребута выяснилось, что проблема решена частично. В обычном режиме так и не получается запустить KVRT.

Также в безопасном режиме прогнал автологгер. Результат прилагаю.

CollectionLog-2022.09.15-21.26.zip

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[Неудачник]

Благодарю, с места всё сдвинулось.

AVbr стёр мне пользователя John, логи прилагаю. Нужно ли ещё что-то сделать, чтобы добить эту заразу?

AV_block_remove_2022.09.16-01.41.log CollectionLog-2022.09.16-02.00.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Неудачник]

Готово. Вывод FRST в закрепе.

FRSToutput.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => E:\7-Zip\7-zip.dll -> Нет файла
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => E:\7-Zip\7-zip.dll -> Нет файла
ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => E:\7-Zip\7-zip.dll -> Нет файла
AlternateDataStreams: C:\Users\Максим\Application Data:90624d432577ede0f0806e688bced42f [394]
AlternateDataStreams: C:\Users\Максим\AppData\Roaming:90624d432577ede0f0806e688bced42f [394]
FirewallRules: [{13E38619-D88C-49BC-85D0-271376FAAE96}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{7F728DCF-5CFD-4FC5-B3F6-F14173DAE584}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{4BD48D4E-94F7-4FF5-883A-DB2C17DEE565}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{C42C8B5D-D744-4B06-9501-4B6352560F1C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{9DBF1EE7-7330-4881-9E81-0E91B56FCBD6}C:\games\heroes of the storm\versions\base83086\heroesofthestorm_x64.exe] => (Allow) C:\games\heroes of the storm\versions\base83086\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{2EA480F0-E41D-47C2-9A58-D648465A5660}C:\games\heroes of the storm\versions\base83086\heroesofthestorm_x64.exe] => (Allow) C:\games\heroes of the storm\versions\base83086\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{3C18CD35-33A1-4673-8729-773811FA5729}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{A08C1DAE-6A4B-4E6B-AA36-B912C2ADA3CC}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{5AE2D2D5-3F4A-4E6F-A180-C175823E0D77}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{0D206DAE-70BD-4D08-B2B9-597A9FB92EA5}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{4F8D9E46-659D-4132-BAC9-E0A185A2C788}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{9DAF36F3-0299-476E-A933-F01FE820BC11}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{71DA641A-7F2A-4FB7-90DC-63B7908F2745}E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{001CD9F1-A119-4A76-81A5-33DD179A89D5}E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) E:\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{1F0CCB6C-3CD5-415C-A0D8-E8CA0EB3B4B4}C:\games\heroes of the storm\versions\base83632\heroesofthestorm_x64.exe] => (Allow) C:\games\heroes of the storm\versions\base83632\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{57D31AB6-ACC3-4866-8A23-1FCFC6C6A663}C:\games\heroes of the storm\versions\base83632\heroesofthestorm_x64.exe] => (Allow) C:\games\heroes of the storm\versions\base83632\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{AAE19832-9B49-431C-A8D7-2E3F5DF62FE4}E:\games\doom\freedoom-0.12.1\zandronum.exe] => (Allow) E:\games\doom\freedoom-0.12.1\zandronum.exe => Нет файла
FirewallRules: [UDP Query User{2D9B6192-5439-4656-A89F-C8F1626DA12A}E:\games\doom\freedoom-0.12.1\zandronum.exe] => (Allow) E:\games\doom\freedoom-0.12.1\zandronum.exe => Нет файла
FirewallRules: [TCP Query User{55A3086B-9913-4B02-8AE8-C19CC17BC07C}E:\games\onee chanbara origin\oneechanbaraorigin.exe] => (Allow) E:\games\onee chanbara origin\oneechanbaraorigin.exe => Нет файла
FirewallRules: [UDP Query User{DB3DBC4B-98A3-4808-9E40-2B845DED832A}E:\games\onee chanbara origin\oneechanbaraorigin.exe] => (Allow) E:\games\onee chanbara origin\oneechanbaraorigin.exe => Нет файла
FirewallRules: [TCP Query User{40794774-0AEC-409B-83B2-B61FD17B420B}E:\steam\steamapps\common\subverse\subverse\binaries\win64\subverse-win64-shipping.exe] => (Allow) E:\steam\steamapps\common\subverse\subverse\binaries\win64\subverse-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4F79B8BE-7D1B-4CBC-A97D-671A222E385E}E:\steam\steamapps\common\subverse\subverse\binaries\win64\subverse-win64-shipping.exe] => (Allow) E:\steam\steamapps\common\subverse\subverse\binaries\win64\subverse-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{7E41F3A6-CAE3-4284-9CBD-0BE9C5224F59}E:\games\doom\doomx64.exe] => (Block) E:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{5AF17E32-EA23-48B8-9A32-00EAAA3E443C}E:\games\doom\doomx64.exe] => (Block) E:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{5E02643F-C8B0-4426-81DC-D1371E63E06B}] => (Allow) E:\GAMES\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{30FF416D-78B8-417D-96F3-74E3F97D75B3}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [TCP Query User{F326B35B-0079-4AFF-AAC1-12EBDAE01782}E:\games\heroes of the storm\versions\base85311\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85311\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{7A352FC0-2EB9-4F15-AE3E-8891FA3F936F}E:\games\heroes of the storm\versions\base85311\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85311\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{AF032AA5-4E01-46E1-8447-B49AE5472EC9}E:\games\heroes of the storm\versions\base85551\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85551\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{F6049AF8-B0B8-4CCA-8A78-62273131A5AA}E:\games\heroes of the storm\versions\base85551\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85551\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{1FEF0484-7EA5-4C58-9AFE-96C094EDCB4D}E:\games\heroes of the storm\versions\base85576\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85576\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{B374AA29-A239-4B58-A72F-DB249BEAF655}E:\games\heroes of the storm\versions\base85576\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85576\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{79998F4E-F9DA-4369-8A0D-8936AF8B8E33}E:\steam\steamapps\common\war thunder\win64\aces.exe] => (Allow) E:\steam\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{A944A8E1-93D8-4EDB-A3BF-64499DA302E6}E:\steam\steamapps\common\war thunder\win64\aces.exe] => (Allow) E:\steam\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [TCP Query User{41690683-BBAF-49AF-9F65-1C713F282930}E:\games\heroes of the storm\versions\base85894\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85894\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{ABAD632C-92AD-43C8-97F1-DDC419452C5E}E:\games\heroes of the storm\versions\base85894\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base85894\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [{D99DD408-9250-4DC7-A871-A99F5830775B}] => (Allow) E:\STEAM\steamapps\common\Magicka 2\engine\Magicka2.exe => Нет файла
FirewallRules: [{13C5AFF8-051A-4153-84D1-7DCEA58BBEC4}] => (Allow) E:\STEAM\steamapps\common\Magicka 2\engine\Magicka2.exe => Нет файла
FirewallRules: [{98BD74EE-26F5-4949-89D8-2E6D1D7B5225}] => (Allow) C:\Users\Максим\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe => Нет файла
FirewallRules: [{749EF0D8-421A-4699-A6D7-6140D11CE5BD}] => (Allow) E:\GAMES\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{57A72840-2683-4756-A3D0-A1E89D95E838}] => (Allow) E:\GAMES\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{499272C7-EB65-45FF-B10B-D12F4E8167A2}] => (Allow) C:\Users\Максим\AppData\Local\Warframe\Downloaded\Public\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{2997F2FA-6CAE-4B09-A2D2-AD7437A17810}] => (Allow) C:\Users\Максим\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe => Нет файла
FirewallRules: [{989116E9-1A0B-462B-A20D-DE0485C0438B}] => (Allow) E:\GAMES\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{4F04452C-B985-4C98-8A29-6186F51CAF88}] => (Allow) E:\GAMES\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{AD117BD0-B711-4AC5-B878-319048AD135E}] => (Allow) C:\Users\Максим\AppData\Local\Warframe\Downloaded\Public\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [TCP Query User{67D7C89A-DF71-4425-B6D0-4626426F71FA}E:\games\heroes of the storm\versions\base86223\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base86223\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{2BA88C56-693A-4A95-9069-7BBFDFE01806}E:\games\heroes of the storm\versions\base86223\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base86223\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{0225CE30-21BA-4E8F-B9FC-9257351DDB86}E:\games\xcom 2\xcom2-warofthechosen\binaries\win64\xcom2.exe] => (Allow) E:\games\xcom 2\xcom2-warofthechosen\binaries\win64\xcom2.exe => Нет файла
FirewallRules: [UDP Query User{EE3C556E-BC27-4AD6-B06F-DC615C986FF3}E:\games\xcom 2\xcom2-warofthechosen\binaries\win64\xcom2.exe] => (Allow) E:\games\xcom 2\xcom2-warofthechosen\binaries\win64\xcom2.exe => Нет файла
FirewallRules: [TCP Query User{85C160DB-B2B5-4EF7-97C7-8C24E3D29E01}E:\games\heroes of the storm\versions\base88122\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base88122\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{B209259E-2ADE-4420-8E8A-09325C3A2FE9}E:\games\heroes of the storm\versions\base88122\heroesofthestorm_x64.exe] => (Allow) E:\games\heroes of the storm\versions\base88122\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [{DE023BF4-B4BA-41E2-922D-DA3938BB3788}] => (Allow) E:\GAMES\Tower Of Fantasy\Hotta\Binaries\Win64\INTLWebViewHelper.exe => Нет файла
FirewallRules: [TCP Query User{B1963236-8BB6-4B0E-A48E-7E2D1BB28F35}E:\games\tower of fantasy\hotta\binaries\win64\qrsl.exe] => (Allow) E:\games\tower of fantasy\hotta\binaries\win64\qrsl.exe => Нет файла
FirewallRules: [UDP Query User{679748F9-0C06-4435-BE8C-BB7A4DB21D56}E:\games\tower of fantasy\hotta\binaries\win64\qrsl.exe] => (Allow) E:\games\tower of fantasy\hotta\binaries\win64\qrsl.exe => Нет файла
FirewallRules: [TCP Query User{F64B2106-202C-4773-BC39-F396C383C8CD}E:\games\cult of the lamb v1.0.13\cult of the lamb.exe] => (Allow) E:\games\cult of the lamb v1.0.13\cult of the lamb.exe => Нет файла
FirewallRules: [UDP Query User{17FE6951-6AB8-46A9-9B7F-A5B15F37CFCC}E:\games\cult of the lamb v1.0.13\cult of the lamb.exe] => (Allow) E:\games\cult of the lamb v1.0.13\cult of the lamb.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Неудачник]

Готово.

Fixlog.txt

[thyrex]

Проблема решена?

[Неудачник]

Да, стало гораздо лучше!

Стресс-тест я не проводил, но эмулятор больше не подглючивает. Да и, честно говоря, просто уверенность в том, что контроль у меня, а не у виртуального John, уже внушает оптимизм.

 

Большое Вам спасибо! Как Вас отблагодарить?

[Sandor]

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.