[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John

[gleb18.2000]

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

FRST.txt Addition.txt

Изменено 24 апреля, 2023 пользователем gleb18.2000

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[gleb18.2000]

Addition.txtFRST.txtИсправил тему, приношу извинения

Изменено 24 апреля, 2023 пользователем gleb18.2000

[Mark D. Pearlstone]

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

[gleb18.2000]

23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

[Sandor]

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
  Unlock:C:\FRST
  2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
  2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
  2023-03-19 22:17 C:\Program Files\AVAST Software
  2023-03-19 22:17 C:\Program Files\AVG
  2023-03-19 22:17 C:\Program Files\Cezurity
  2023-03-19 22:17 C:\Program Files\COMODO
  2023-03-19 22:17 C:\Program Files\Enigma Software Group
  2023-03-19 22:17 C:\Program Files\ESET
  2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
  2023-03-20 11:24 C:\Program Files\Malwarebytes
  2023-03-19 22:17 C:\Program Files\Process Lasso
  2023-03-19 22:17 C:\Program Files\Rainmeter
  2023-03-19 22:17 C:\Program Files\Ravantivirus
  2023-03-19 22:17 C:\Program Files\SpyHunter
  2023-03-19 22:17 C:\Program Files (x86)\360
  2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
  2023-03-19 22:17 C:\Program Files (x86)\AVG
  2023-03-19 22:17 C:\Program Files (x86)\Cezurity
  2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
  2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
  2023-03-19 22:17 C:\Program Files (x86)\Panda Security
  2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
  2023-03-19 22:17 C:\Program Files (x86)\Transmission
  2023-03-19 22:17 C:\WINDOWS\speechstracing
  2023-04-23 22:56 C:\Program Files\Common Files\AV
  2023-03-19 22:17 C:\Program Files\Common Files\McAfee
  2023-03-19 22:17 C:\ProgramData\360safe
  2023-03-19 22:17 C:\ProgramData\AVAST Software
  2023-03-19 22:17 C:\ProgramData\Avira
  2023-03-19 22:17 C:\ProgramData\BookManager
  2023-03-19 22:17 C:\ProgramData\ESET
  2023-03-19 22:17 C:\ProgramData\Evernote
  2023-03-19 22:17 C:\ProgramData\FingerPrint
  2023-03-19 22:17 C:\ProgramData\grizzly
  2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
  2023-03-19 22:17 C:\ProgramData\MB3Install
  2023-03-19 22:17 C:\ProgramData\McAfee
  2023-03-19 22:17 C:\ProgramData\Norton
  2023-03-19 22:17 C:\ProgramData\PuzzleMedia
  2023-03-19 22:17 C:\ProgramData\RobotDemo
  2023-03-19 22:17 C:\ProgramData\WavePad
  John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
  FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
  FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
  FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
  FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[gleb18.2000]

5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
  Unlock:C:\FRST
  2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
  2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
  2023-03-19 22:17 C:\Program Files\AVAST Software
  2023-03-19 22:17 C:\Program Files\AVG
  2023-03-19 22:17 C:\Program Files\Cezurity
  2023-03-19 22:17 C:\Program Files\COMODO
  2023-03-19 22:17 C:\Program Files\Enigma Software Group
  2023-03-19 22:17 C:\Program Files\ESET
  2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
  2023-03-20 11:24 C:\Program Files\Malwarebytes
  2023-03-19 22:17 C:\Program Files\Process Lasso
  2023-03-19 22:17 C:\Program Files\Rainmeter
  2023-03-19 22:17 C:\Program Files\Ravantivirus
  2023-03-19 22:17 C:\Program Files\SpyHunter
  2023-03-19 22:17 C:\Program Files (x86)\360
  2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
  2023-03-19 22:17 C:\Program Files (x86)\AVG
  2023-03-19 22:17 C:\Program Files (x86)\Cezurity
  2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
  2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
  2023-03-19 22:17 C:\Program Files (x86)\Panda Security
  2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
  2023-03-19 22:17 C:\Program Files (x86)\Transmission
  2023-03-19 22:17 C:\WINDOWS\speechstracing
  2023-04-23 22:56 C:\Program Files\Common Files\AV
  2023-03-19 22:17 C:\Program Files\Common Files\McAfee
  2023-03-19 22:17 C:\ProgramData\360safe
  2023-03-19 22:17 C:\ProgramData\AVAST Software
  2023-03-19 22:17 C:\ProgramData\Avira
  2023-03-19 22:17 C:\ProgramData\BookManager
  2023-03-19 22:17 C:\ProgramData\ESET
  2023-03-19 22:17 C:\ProgramData\Evernote
  2023-03-19 22:17 C:\ProgramData\FingerPrint
  2023-03-19 22:17 C:\ProgramData\grizzly
  2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
  2023-03-19 22:17 C:\ProgramData\MB3Install
  2023-03-19 22:17 C:\ProgramData\McAfee
  2023-03-19 22:17 C:\ProgramData\Norton
  2023-03-19 22:17 C:\ProgramData\PuzzleMedia
  2023-03-19 22:17 C:\ProgramData\RobotDemo
  2023-03-19 22:17 C:\ProgramData\WavePad
  John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
  FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
  FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
  FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
  FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

Fixlog.txt

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

[gleb18.2000]

29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

[Sandor]

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

[gleb18.2000]

Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

[Sandor]

Хорошо. Что с проблемой?

[gleb18.2000]

1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

[Sandor]

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[gleb18.2000]

10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt