Перейти к содержанию
Правила раздела

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John

gleb18.2000

Автор gleb18.2000
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gleb18.2000

gleb18.2000

Опубликовано
Опубликовано (изменено)

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
Unlock:C:\FRST
2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
2023-03-19 22:17 C:\Program Files\AVAST Software
2023-03-19 22:17 C:\Program Files\AVG
2023-03-19 22:17 C:\Program Files\Cezurity
2023-03-19 22:17 C:\Program Files\COMODO
2023-03-19 22:17 C:\Program Files\Enigma Software Group
2023-03-19 22:17 C:\Program Files\ESET
2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
2023-03-20 11:24 C:\Program Files\Malwarebytes
2023-03-19 22:17 C:\Program Files\Process Lasso
2023-03-19 22:17 C:\Program Files\Rainmeter
2023-03-19 22:17 C:\Program Files\Ravantivirus
2023-03-19 22:17 C:\Program Files\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\360
2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
2023-03-19 22:17 C:\Program Files (x86)\AVG
2023-03-19 22:17 C:\Program Files (x86)\Cezurity
2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
2023-03-19 22:17 C:\Program Files (x86)\Panda Security
2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
2023-03-19 22:17 C:\Program Files (x86)\Transmission
2023-03-19 22:17 C:\WINDOWS\speechstracing
2023-04-23 22:56 C:\Program Files\Common Files\AV
2023-03-19 22:17 C:\Program Files\Common Files\McAfee
2023-03-19 22:17 C:\ProgramData\360safe
2023-03-19 22:17 C:\ProgramData\AVAST Software
2023-03-19 22:17 C:\ProgramData\Avira
2023-03-19 22:17 C:\ProgramData\BookManager
2023-03-19 22:17 C:\ProgramData\ESET
2023-03-19 22:17 C:\ProgramData\Evernote
2023-03-19 22:17 C:\ProgramData\FingerPrint
2023-03-19 22:17 C:\ProgramData\grizzly
2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
2023-03-19 22:17 C:\ProgramData\MB3Install
2023-03-19 22:17 C:\ProgramData\McAfee
2023-03-19 22:17 C:\ProgramData\Norton
2023-03-19 22:17 C:\ProgramData\PuzzleMedia
2023-03-19 22:17 C:\ProgramData\RobotDemo
2023-03-19 22:17 C:\ProgramData\WavePad
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Sandor

Sandor

Опубликовано
Опубликовано

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

gleb18.2000

gleb18.2000

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • salad
      помогите удалить NET:MINERS.URL
      Автор salad
      Dr Web CureIt! обнаружил NET:MINERS.URL и не может его вылечить
      https://dropmefiles.com/kM9Ct - логи cureit
×
×
  • Создать...