Перейти к содержанию

[РЕШЕНО] Неизвестная ошибка при установке бесплатного антивируса Касперского после удаления вирусов (майнера или трояна) через Av block remover


Рекомендуемые сообщения

Кратко говоря, после установки игры одновременно с ним установился и майнер (это я понял, когда в интернете покопался и нашел аналогичные решенные случаи у Вас на сайте). После разных методик и через безопасный режим удалось через Dr.Web удалить троян. Потом скачав Av block удалил Джона. Но после каждой перезагрузки он появляется, видимо, заново, потому что всегда Av block что-то находит и просит перезагрузиться, а Dr.Web больше не находит. Прикрепил отчет от утилиты Kaspersky Get System Info. Так же приложу результаты AutoLogger. Еще файлы из AV_block_remove. И так же отчеты от  Farbar Recovery Scan Tool. И на всякий случай из SecurityCheck.

GSI6_USER-PC_Professional_12_21_2022_02_38_51.zip

https://drive.google.com/drive/folders/1in6tdHANmlc_V8FnUW17BP-nmNgBuHT1?usp=share_link - autologger

https://drive.google.com/drive/folders/1XpZUO9iCxYIzhpJpiTOYoFE-BInea3bR?usp=share_link - av block

FRST.txt Addition.txt

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 34
  • Created
  • Последний ответ

Top Posters In This Topic

  • Barbaris

    18

  • Sandor

    17

Здравствуйте!

 

Не нужно сразу все логи собирать, они запрашиваются по мере лечения.

 

 

"Пофиксите" в HijackThis только следующие строки:

O2-32 - HKLM\..\BHO: (no name) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - (no file)
O7 - AppLocker: Fix all (including policies)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: Driver Booster SkipUAC (Professional) - C:\Programs\1\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)

 

Перезагрузите компьютер.

Удалите старые и соберите новые логи Farbar Recovery Scan Tool.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {39087e32-2b49-11ed-9211-d9b19208c0f8} - "E:\startme.exe" 
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {92eb5e74-d8c2-11eb-91af-b3078ae5a7e9} - "E:\setup.exe" 
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {acc3c407-303e-11ec-91c7-f28d87d86447} - "E:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    2022-12-21 01:05 - 2022-12-14 06:21 - 000095232 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
    2022-12-21 00:47 - 2022-12-21 01:39 - 000000000 __SHD C:\$360Section
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
    AlternateDataStreams: C:\Users\Professional\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Professional\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Professional\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Professional\AppData\Roaming:iSpring Solutions [128]
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ссылка на ваш отчёт.

 

Сделаем ещё пару проверок по нашей части:

 

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Кроме Автологера (ложное срабатывание) удалите всё найденное (поместите в карантин).

Перезагрузите компьютер и повторите сканирование Malwarebytes. Покажите новый отчёт.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Ещё одно сканирование, пожалуйста:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • 205038
    • ryckovry
      От ryckovry
      Здравствуйте!

      Вчера заразила ноут троянами. Просканировала его утилитой Касперского, было найдено 13 вирусов, нажала «Лечить с перезагрузкой». Сканирование после лечения нашло ещё 3 трояна, которых до этого не было в отчёте, и 2 других опасных файла (на фото). Но ноут хотя бы перестал греться и шуметь как сумасшедший, и проц не разгоняется больше до 100. 

      Сегодня просканировала второй раз, Касперский ничего не нашёл. Но я сомневаюсь, что все трояны удалены и обезврежены. Хочу убедиться в этом, но сама не понимаю, как. Скажите, пожалуйста, что нужно сделать?

      Точку восстановления ОС пока не создавала.

      CollectionLog-2024.03.22-12.58.zip

×
×
  • Создать...