Перейти к содержанию

Вирус не даёт установить KVRT, AVBr, AVz и т.д


Рекомендуемые сообщения

Вирус закрывает браузер при поиске слова "антивирус", блокирует сами антивирусы (KVRT, AVZ, AVBr и тд тоже). Переименовать их пытался (сначала на другом устройстве, потом перекидывал на ПК и уже пытался запустить), но безрезультатно.

Диспетчер задач закрывает самостоятельно через +- минуту, вернуть комп. в исходное состояние не даёт (закрывает моментально) 

Данный сайт антивирус блочит (якобы проблема с dns-сервером)

 

КоллекшионЛог смог собрать только в  безопасном режиме.

 

 

 

 

 

 

 

CollectionLog-2022.11.26-00.57.zip

Изменено пользователем pagl
добавил лог
Ссылка на сообщение
Поделиться на другие сайты

*данный сайт ВИРУС блочит (не могу уже отредачить сообщение, поэтому пишу сюда.)

 

UPD:
Зашел в безопасный режим (ночью было поздно, поэтому сделал это только сейчас), сначала прошелся через KVRT, потом через AVbr (помог заранее скачанный файл с измененным названием, с настоящим антивирус даже в безопасном не дал). Прикладываю свежие логи

CollectionLog-2022.11.26-14.52.zip

Изменено пользователем pagl
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [RemoveSearchLnk] => cmd /c del /f /q /a "%LocalAppData%\Microsoft\Windows\WinX\Group2\2 - Search.lnk" (Нет файла)
HKU\S-1-5-20\...\RunOnce: [RemoveSearchLnk] => cmd /c del /f /q /a "%LocalAppData%\Microsoft\Windows\WinX\Group2\2 - Search.lnk" (Нет файла)
HKU\S-1-5-21-1372914991-377106928-3864091726-1001\...\MountPoints2: {651921bd-9258-11ec-b1ba-ae3016a9fd74} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
IE trusted site: HKU\S-1-5-21-1372914991-377106928-3864091726-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-1372914991-377106928-3864091726-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [TCP Query User{DE99BC9E-B497-47BD-9BC8-FC14DFF99F7B}C:\users\user\appdata\local\discord\app-1.0.9003\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{396ACCE7-D196-42B2-A3DB-AE956F8E9B67}C:\users\user\appdata\local\discord\app-1.0.9003\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{14CD89F2-1BCB-4BD1-8DD1-E3F0ED092982}C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{5CBF84C1-0566-4FE9-B5D8-31EA8952EF46}C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{B520FD60-203A-4810-A007-B06BBA2F377C}C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{92DF0AFB-CCEA-4EF8-AEF7-B6AB13C41237}C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) C:\satisfactory\engine\binaries\win64\factorygame-win64-shipping.exe => Нет файла
FirewallRules: [{18CB75EC-F17F-4678-B4DF-ADDFDED77294}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{08277B78-F1AF-4D27-B932-AE2BCF43D4F7}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{1E9D756D-9192-453D-B652-464EC44D1ABE}C:\program files\epic games\gtav\gta5.exe] => (Allow) C:\program files\epic games\gtav\gta5.exe => Нет файла
FirewallRules: [UDP Query User{6A207F8A-4FAF-42F6-9FE3-CEFF4BE26F21}C:\program files\epic games\gtav\gta5.exe] => (Allow) C:\program files\epic games\gtav\gta5.exe => Нет файла
FirewallRules: [TCP Query User{21BBCE93-DD8D-4986-A408-204850136E57}C:\games\gta5rp\ragemp\ragemp_v.exe] => (Allow) C:\games\gta5rp\ragemp\ragemp_v.exe => Нет файла
FirewallRules: [UDP Query User{5F815015-B63F-4075-9959-E657D172652B}C:\games\gta5rp\ragemp\ragemp_v.exe] => (Allow) C:\games\gta5rp\ragemp\ragemp_v.exe => Нет файла
FirewallRules: [TCP Query User{870DC004-E04C-459E-BB1A-A06039D43A14}C:\games\gta5rp\ragemp\cef\ragemp_game_ui.exe] => (Allow) C:\games\gta5rp\ragemp\cef\ragemp_game_ui.exe => Нет файла
FirewallRules: [UDP Query User{44214038-7808-4B43-96A8-332A14F28F86}C:\games\gta5rp\ragemp\cef\ragemp_game_ui.exe] => (Allow) C:\games\gta5rp\ragemp\cef\ragemp_game_ui.exe => Нет файла
FirewallRules: [{25B7F7B8-A3D9-4A8B-B3DE-B5CB4D1CC769}] => (Allow) D:\SteamLibrary\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [{413EFDE9-EB52-4269-85DE-0C5734BC39B7}] => (Allow) D:\SteamLibrary\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [TCP Query User{EF0F0232-92B3-4719-A262-14F8289AC77A}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{502FDAF0-9A8C-47F6-9323-A1E88C09ABEA}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{8F045DA6-255C-45B8-A9F3-90E3D648BF15}] => (Allow) D:\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{882618B5-077F-4CD1-A581-9AC7D415DEFD}] => (Allow) D:\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0358E580-87E0-46A9-A4E2-83997579C815}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [TCP Query User{43ACB83F-00FD-43E2-BDF1-8353B70618FC}D:\gang beasts v1.18.204\gang beasts.exe] => (Allow) D:\gang beasts v1.18.204\gang beasts.exe => Нет файла
FirewallRules: [UDP Query User{EEEA8945-F10C-4CB9-858E-2FAE0A3BE795}D:\gang beasts v1.18.204\gang beasts.exe] => (Allow) D:\gang beasts v1.18.204\gang beasts.exe => Нет файла
FirewallRules: [TCP Query User{2BF75D23-5204-4582-BE18-A2DA4EB12748}D:\gang beasts v1.3\gang beasts.exe] => (Allow) D:\gang beasts v1.3\gang beasts.exe => Нет файла
FirewallRules: [UDP Query User{07423A96-263A-4327-86E4-78BE23D9DA46}D:\gang beasts v1.3\gang beasts.exe] => (Allow) D:\gang beasts v1.3\gang beasts.exe => Нет файла
FirewallRules: [TCP Query User{B7AC250D-9FB4-45E6-B069-033C6D991B8E}D:\пдд\bin\win32\starter.exe] => (Block) D:\пдд\bin\win32\starter.exe => Нет файла
FirewallRules: [UDP Query User{A0F707FA-7E55-4378-B7AB-15DC76D1BC1B}D:\пдд\bin\win32\starter.exe] => (Block) D:\пдд\bin\win32\starter.exe => Нет файла
FirewallRules: [TCP Query User{FCBB71EB-5D3B-4289-B8AF-ED6EC27FDFF2}C:\program files (x86)\securevpn.com\securevpndesktop.exe] => (Allow) C:\program files (x86)\securevpn.com\securevpndesktop.exe => Нет файла
FirewallRules: [UDP Query User{6B3724BF-A985-45DD-960E-17B8C9977760}C:\program files (x86)\securevpn.com\securevpndesktop.exe] => (Allow) C:\program files (x86)\securevpn.com\securevpndesktop.exe => Нет файла
FirewallRules: [TCP Query User{A8E848FC-8E95-47BE-BF6C-BA2889D83649}C:\users\user\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\user\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{16A4ACA5-593F-4AD4-9D4A-D18B567B900A}C:\users\user\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\user\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{300AEAB2-1438-48E3-8706-CEFCEC5A7B45}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{006E83FE-28BF-4699-80A6-74FBDF0B0AD2}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{C482E532-1209-41F6-8B31-7BE0B6AE8916}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Among Us\Among Us.exe => Нет файла
FirewallRules: [{5606FE6E-4282-443E-AA9A-2E0E434D1220}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Among Us\Among Us.exe => Нет файла
FirewallRules: [TCP Query User{85CFF744-843F-4F52-B6DE-BCD782F094C1}D:\steamlibrary\steamapps\common\есть два стула\dvastula\binaries\win64\dvastula-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\есть два стула\dvastula\binaries\win64\dvastula-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{23E9AE79-8E44-487F-AED6-2EE53E47F091}D:\steamlibrary\steamapps\common\есть два стула\dvastula\binaries\win64\dvastula-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\есть два стула\dvastula\binaries\win64\dvastula-win64-shipping.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Alex_Tribunal
      От Alex_Tribunal
      Здравствуйте, обнаружил у себя скрытый майнер, также в системе есть некий пользователь под именем Джон, проверял через avbr, как избавиться от майнера?
    • denissevostanov
      От denissevostanov
      решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк
    • PashaR
      От PashaR
      Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)
       
      CollectionLog-2023.02.01-00.00.zip
    • Макс2344234
      От Макс2344234
      У меня каждые 3 секунды это вылазит без остановки! ЧТО ДЕЛАТЬ?
      Событие: Загрузка остановлена
      Пользователь: НЕ СКАЖУ
      Тип пользователя: Активный пользователь
      Имя программы: msedge.exe
      Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Степень угрозы: Высокая
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • DramaticCarAuthor
      От DramaticCarAuthor
      Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 
      CollectionLog-2023.01.30-07.20.zip
×
×
  • Создать...