Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John

gleb18.2000

Автор gleb18.2000,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

gleb18.2000

gleb18.2000 1

Опубликовано
Опубликовано (изменено)

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone

Mark D. Pearlstone 1 651

Опубликовано
Опубликовано

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
gleb18.2000

gleb18.2000 1

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Natalia00
      Майнер блокирует доступ к avbr и connection_log
      От Natalia00
      Здравствуйте. Помогите пожалуйста мне тоже. Даже этот сайт не открывается с компьютера (
      Addition.txt FRST.txt
    • snosov
      Проблема с Trojan.Win32.Miner.bcnmz/bcnnb + not-a-virus:RiskTool.Win32.BitCoinMiner.oomz + not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
      От snosov
      Приветствую,
      Обратил внимание, что у меня при заходе в Windows у меня мелькает окно cmd.exe, сразу попытался зайти на сайт антивирусного ПО и браузер "сам" закрылся.
      Скачал через телефон Kaspersky Virus Removal Tool и перебросил на ПК, но при попытке запустить файл окно проводника "само" закрывалось, переимоновал файл и он запустился, но в процессе "расстановки галочек" он так же "сам" закрылся.
      Скачал через телефон DrWeb CureIt!, он запустился без проблем и нашёл всякое, и полечил, но после перезагрузки всё вернулось.
      Скачал через телефон Kaspersky Rescue Disk, сформировал загрузочную USB. Было найдено то же самое, тоже было полечено, но так же не смогло помочь и после загрузки ситуация не поменялась.
      В приложении выгрузка AutoLogger-а и скрины KRD, но есть момент - AutoLogger пытался открыть Google Chrome, а я его удалил сразу как понял про заразу - там явки/пароли/карты.


      CollectionLog-2023.05.14-13.34.zip
    • sega1209
      Не ставится Endpoint ошибка 1303
      От sega1209
      Не устанавливается прошу помощи
    • rossi
      [РЕШЕНО] Tool.BtcMine 2711
      От rossi
      Здравствуйте!
      Cобрали целый арсенал разных вредоносов.
      Сканировал Dr.Web что не вылечил отправлено было в карантин и в карантине уже все удалил, так же для надежности Kaspersky Virus Removal Tool сканировал (тех что нашел Web уже не было) но нашел 1 вредоноса так же скрин прилагаю (его так же удалил)
      Прошу Вас помочь в просмотре логов и рекомендациям по устранению последствий этих вирусов.

      CollectionLog-2023.04.29-00.30.zip
    • Eskation
      Поймал майнер realtekhd taskhostw.exe
      От Eskation
      Здравствуйте! Аналогичная проблема - поймал майнер realtekhd taskhostw.exe
      kvrt несколько раз проверял, удалял, но гад постоянно возвращается
      AVbr запустить не даёт ни в обычном не в безопасном режимах - закрывает под предлогом необходимости обновления версии
      В безопасном режиме запустил FRST, прикрепляю результаты
      Заранее благодарен за любую помощь
      Addition.txtFRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...