Перейти к содержанию
Правила раздела

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John

gleb18.2000

Автор gleb18.2000
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gleb18.2000

gleb18.2000

Опубликовано
Опубликовано (изменено)

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PhernulNathral
      Скрытый пользователь John
      Автор PhernulNathral
      Папка "John" в директории Users появилась в 2022 году. В свойствах файлов написано 6 файлов внутри, а на самом деле только 1 - ntuser.dat
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • R37r0b0y
      Неудаляемый фейковый Adblock Plus
      Автор R37r0b0y
      Подхватил вчера фейковый адблок, который еще не сразу удалился. Скорее всего поймал его, когда скачивал сталкер 2 с сайта https://thelastgame.org/page,1,2,129-9-stalker-2-heart-of-chernobyl.html, просто сделал анализ по времени создания папки с расширением, который распространился на хром и стандартный браузер винды. Обнаружил после установки игры, когда на некоторые сайты резко переставало заходить, выбивая ошибку 403, мол, запретили мне доступ к сайту и заметил, что хром какую-то ошибку нашел, а там данное творение, которая как раз и была причиной ошибок. Я его сначала просто удалил и все, но все же решил вчера пройтись потом доктором вебом, он там нашел какой-то зараженный файл secure preferences в папке с хромом. Все это дело антивирусник вылечил типа. Но после сегодняшней загрузки винды снова появилось данное чудо, которое же я сразу удалил и начал снова прогонять доктором вебом с полной проверкой всего компа. После проверки и исправлений антивирусником я перезагрузил пк, но на следующий запуск расширение уже не появилось. На всякий случай решил собрать логи с FRST и автологгера после перезапуска. Думаю, что-то да осталось в компе после этой чертовщины, потому что у меня биос, как ни странно, начал теперь загружаться целых 45 секунд :). Логи cureit не могу приложить из-за большого размера.

      logs.zip
    • Chel_Yaa
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
×
×
  • Создать...