[РЕШЕНО] KVRT блокируется, avz пропадает с флэшки. Прошу помощи!

[Alex_kuz 1]

Здравствуйте! Комп начал дико тормозить, проц сильно грузится, нещадно крутит кулер. При отключении интернета все нормализуется. Нет возможности установить или запустить какой-нибудь антивирус или утилиту, или открыть страницу с антивирусным сканером. AVZ, скачанный на ноуте при попытке запустить на стационарном - с флэшки просто исчезает, хотя имя файла случайное. Что делать ?

[Sandor 1 280]

Здравствуйте!

 

Порядок оформления запроса о помощи

Пробуйте выполнить правила (запустить Автологер) из безопасного режима.

[Alex_kuz 1]

Спасибо, сейчас попробую

 

 

CollectionLog-2022.12.06-15.32.zip

[Sandor 1 280]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима.
 

[Alex_kuz 1]

AV_block_remove_2022.12.06-15.56.log CollectionLog-2022.12.06-16.14.zip

[Sandor 1 280]

Продолжаем.

 

"Пофиксите" в HijackThis (только следующие строки):

O4 - HKCU\..\Run: [krende1f] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - HKLM\..\Run: [WindowsDefender] = C:\Program Files\Windows Defender\MSASCuiL.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: krende1f - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v krende1f /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks: plaza-profile - C:\ProgramData\preventing-prison\bin.exe /H (file missing)

 

Перезагрузите компьютер.

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Alex_kuz 1]

Спасибо огромное! Продолжаю.

 

FRST.txt Addition.txt

[Sandor 1 280]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com","hxxps://ovgorskiy.ru"
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\krende1f\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\krende1f\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  FirewallRules: [{334A77B5-6A9D-400F-AAE7-8FB55DB366C3}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣商彁⹹硥e => Нет файла
  FirewallRules: [{F9D77342-4855-475B-A59D-B4962AD69317}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{A762A567-705C-46DB-82C8-6F643D61E2EF}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{2195E19A-29DD-4FF0-8ADD-88DD678BBCFC}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣䕮桄攮數 => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Alex_kuz 1]

Fixlog.txt

[Sandor 1 280]

Что сейчас с блокировками?

[Alex_kuz 1]

На первый взгляд - все пришло в порядок: кулер не надрывается, загрузка процессора  - в норме, страницы с антивирусами - открываются, KVRT - запускается... Стоит ли его запустить? Или уже лишнее? Тормоза в браузере тоже прошли.

[Sandor 1 280]

1 минуту назад, Alex_kuz сказал:

KVRT - запускается... Стоит ли его запустить?

Проверить не помешает.

 

А в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Alex_kuz 1]

SecurityCheck.txt

[Sandor 1 280]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.17.4.0.482 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent 2.2.1.25302 final v.2.2.1.25302 final Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.5.02.2370 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

[Alex_kuz 1]

Сегодня исполню. Огромное спасибо за помощь!