Перейти к содержанию
Правила раздела

[РЕШЕНО] Неизвестная ошибка при установке бесплатного антивируса Касперского после удаления вирусов (майнера или трояна) через Av block remover

Barbaris

Автор Barbaris
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Barbaris

Barbaris

Опубликовано
Опубликовано

Кратко говоря, после установки игры одновременно с ним установился и майнер (это я понял, когда в интернете покопался и нашел аналогичные решенные случаи у Вас на сайте). После разных методик и через безопасный режим удалось через Dr.Web удалить троян. Потом скачав Av block удалил Джона. Но после каждой перезагрузки он появляется, видимо, заново, потому что всегда Av block что-то находит и просит перезагрузиться, а Dr.Web больше не находит. Прикрепил отчет от утилиты Kaspersky Get System Info. Так же приложу результаты AutoLogger. Еще файлы из AV_block_remove. И так же отчеты от  Farbar Recovery Scan Tool. И на всякий случай из SecurityCheck.

GSI6_USER-PC_Professional_12_21_2022_02_38_51.zip

https://drive.google.com/drive/folders/1in6tdHANmlc_V8FnUW17BP-nmNgBuHT1?usp=share_link - autologger

https://drive.google.com/drive/folders/1XpZUO9iCxYIzhpJpiTOYoFE-BInea3bR?usp=share_link - av block

FRST.txt Addition.txt

SecurityCheck.txt

  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • Barbaris

    18

  • Sandor

    17

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Не нужно сразу все логи собирать, они запрашиваются по мере лечения.

 

 

"Пофиксите" в HijackThis только следующие строки: 

O2-32 - HKLM\..\BHO: (no name) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - (no file)
O7 - AppLocker: Fix all (including policies)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: Driver Booster SkipUAC (Professional) - C:\Programs\1\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)

 

Перезагрузите компьютер.

Удалите старые и соберите новые логи Farbar Recovery Scan Tool.

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {39087e32-2b49-11ed-9211-d9b19208c0f8} - "E:\startme.exe" 
HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {92eb5e74-d8c2-11eb-91af-b3078ae5a7e9} - "E:\setup.exe" 
HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {acc3c407-303e-11ec-91c7-f28d87d86447} - "E:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-387891881-1365743768-2210490740-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2022-12-21 01:05 - 2022-12-14 06:21 - 000095232 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
2022-12-21 00:47 - 2022-12-21 01:39 - 000000000 __SHD C:\$360Section
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
AlternateDataStreams: C:\Users\Professional\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Professional\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Professional\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Professional\AppData\Roaming:iSpring Solutions [128]
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Пробуйте сейчас установить антивирус.

Sandor

Sandor

Опубликовано
Опубликовано

Ссылка на ваш отчёт.

 

Сделаем ещё пару проверок по нашей части:

 

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Кроме Автологера (ложное срабатывание) удалите всё найденное (поместите в карантин).

Перезагрузите компьютер и повторите сканирование Malwarebytes. Покажите новый отчёт.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Ещё одно сканирование, пожалуйста:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • troja
      [РЕШЕНО] Трояны и майнеры
      Автор troja
      Здравствуйте! Недавно пришла мысля проверить пк на наличие вирусов через Dr.Web Cureit, нашло вот это (фото прикрепил ниже), незнаю где что и когда подцепил. Надеюсь вы поможете мне их нейтрализовать.
      CollectionLog-2025.09.28-10.27.zip
    • zeiclish
      [РЕШЕНО] 2 процесса dwm.exe, один из которых нагружает процессор
      Автор zeiclish
      Несколько дней назад начал замечать, что при загрузке W11 через несколько минут после старта начинат сильно крутиться кулер ЦП. 
      Запуск монитора ресурсов, диспетчера задач и т.п. программ сразу снижает нагрузку и температуру ЦП и обороты кулера ЦП.
      Сделал мониторинг с msert.exe, увидел, что dwm.exe сильно загружает ЦП, пока не запущены монитор ресурсов, диспетчер задач и т.п.
       
      На форуме нашел схожие темы, но не нашел какого-то универсального решения.
       
      Во вложеиях логи AutoLogger и FRST, т.к. в каждой теме рекомендация собрать логи этой программой.
       
      Прошу помочь избавиться от вредоносного процесса.
       
      Спасибо.
      CollectionLog-2025.09.25-14.09.zip FRST out.rar
    • Матвей_123
      Вирус после использования KMS Auto
      Автор Матвей_123
      Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо
    • EvgeniyPoluchil
      DPC:PowerShell.AVKILL.10
      Автор EvgeniyPoluchil
      Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip
    • Fiadosiy
      вирус
      Автор Fiadosiy
      поймал вирус, жрет процессор а ДЗ не показывается думал на майнер доктор вроде удалил антивирусники не видят но запускаются 
       
      CollectionLog-2025.09.23-17.39.zip
×
×
  • Создать...