Перейти к содержанию

[РЕШЕНО] Неудаляемые 3 вируса, удаленный пользователь John


Рекомендуемые сообщения

На ноутбуке 3 неудаляемых вируса, которые обнаружил RogueKiller. Долго пытался сам полечить, но ничего не вышло. В FRST есть такая запись:

DefaultAccount (S-1-5-21-2748306136-1074772591-1975860802-503 - Limited - Disabled)
gleb1 (S-1-5-21-2748306136-1074772591-1975860802-1001 - Administrator - Enabled) => C:\Users\gleb1
John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
WDAGUtilityAccount (S-1-5-21-2748306136-1074772591-1975860802-504 - Limited - Disabled)
Администратор (S-1-5-21-2748306136-1074772591-1975860802-500 - Administrator - Disabled)
Гость (S-1-5-21-2748306136-1074772591-1975860802-501 - Limited - Disabled)

Подскажите что в такой ситуации делать, заранее спасибо.

p1UaqcxRkeE.jpg?size=654x354&quality=96&sign=2b1847dd946024c4400cd1c7c97fe0be&type=album

FRST.txt Addition.txt

Изменено пользователем gleb18.2000
Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Mark D. Pearlstone сказал:

Вы не читали статью по ссылке и следовательно выложили не то, что требуется.

Вы имеете в виду, то что этот архив нужен был?CollectionLog-2023.04.24-15.38.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\...\Policies\Explorer: [DisallowRun] 1
    Unlock:C:\FRST
    2023-04-23 22:56 - 2022-06-10 01:29 - 000000000 __SHD C:\Program Files\Common Files\AV
    2023-04-23 22:56 - 2022-01-06 16:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2023-04-23 11:33 - 2023-03-19 22:17 - 000000000 __SHD C:\AdwCleaner
    2023-03-19 22:17 C:\Program Files\AVAST Software
    2023-03-19 22:17 C:\Program Files\AVG
    2023-03-19 22:17 C:\Program Files\Cezurity
    2023-03-19 22:17 C:\Program Files\COMODO
    2023-03-19 22:17 C:\Program Files\Enigma Software Group
    2023-03-19 22:17 C:\Program Files\ESET
    2023-03-19 22:17 C:\Program Files\Loaris Trojan Remover
    2023-03-20 11:24 C:\Program Files\Malwarebytes
    2023-03-19 22:17 C:\Program Files\Process Lasso
    2023-03-19 22:17 C:\Program Files\Rainmeter
    2023-03-19 22:17 C:\Program Files\Ravantivirus
    2023-03-19 22:17 C:\Program Files\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\360
    2023-03-19 22:17 C:\Program Files (x86)\AVAST Software
    2023-03-19 22:17 C:\Program Files (x86)\AVG
    2023-03-19 22:17 C:\Program Files (x86)\Cezurity
    2023-03-19 22:17 C:\Program Files (x86)\GRIZZLY Antivirus
    2023-03-19 22:17 C:\Program Files (x86)\Microsoft JDX
    2023-03-19 22:17 C:\Program Files (x86)\Panda Security
    2023-03-19 22:17 C:\Program Files (x86)\SpyHunter
    2023-03-19 22:17 C:\Program Files (x86)\Transmission
    2023-03-19 22:17 C:\WINDOWS\speechstracing
    2023-04-23 22:56 C:\Program Files\Common Files\AV
    2023-03-19 22:17 C:\Program Files\Common Files\McAfee
    2023-03-19 22:17 C:\ProgramData\360safe
    2023-03-19 22:17 C:\ProgramData\AVAST Software
    2023-03-19 22:17 C:\ProgramData\Avira
    2023-03-19 22:17 C:\ProgramData\BookManager
    2023-03-19 22:17 C:\ProgramData\ESET
    2023-03-19 22:17 C:\ProgramData\Evernote
    2023-03-19 22:17 C:\ProgramData\FingerPrint
    2023-03-19 22:17 C:\ProgramData\grizzly
    2023-04-23 22:56 C:\ProgramData\Kaspersky Lab
    2023-03-19 22:17 C:\ProgramData\MB3Install
    2023-03-19 22:17 C:\ProgramData\McAfee
    2023-03-19 22:17 C:\ProgramData\Norton
    2023-03-19 22:17 C:\ProgramData\PuzzleMedia
    2023-03-19 22:17 C:\ProgramData\RobotDemo
    2023-03-19 22:17 C:\ProgramData\WavePad
    John (S-1-5-21-2748306136-1074772591-1975860802-1002 - Administrator - Enabled)
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    HKU\S-1-5-21-2748306136-1074772591-1975860802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{B42B1085-5435-4CD1-9910-BDD0762DE746}] => (Block) LPort=445
    FirewallRules: [{DE305C48-A9B7-4F20-9288-17A7ED63F6A7}] => (Block) LPort=445
    FirewallRules: [{3B1CF2CB-03CF-4C7A-A0A2-5B9A13D4DA91}] => (Block) LPort=139
    FirewallRules: [{7251BA89-42F3-4D2A-A913-F7E23E5C0191}] => (Block) LPort=139
    FirewallRules: [{A8056553-9F76-44EF-9D56-E366FB762204}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Устройство автоматически перезагрузилось, но после перезагрузки RogueKiller обнаружил уже 2 вируса, один пропал) 

image.png

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, Sandor сказал:

Удалите старые и соберите новые логи FRST.txt и Addtiton.txt

Добрый день, прикрепил с цифрой 1, без цифры "1" в названии это логи с этими нажатыми кнопками при сканировании.image.png.b977a6b4e463605962ff9b07cce61b2b.png

Addition1.txt FRST1.txt FRST.txt Addition.txt Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Сделаем так. Скачайте AV block remover

Измените системную дату на 10 дней назад, 15 апреля 23

Распакуйте AVbr.zip, запустите и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Дату верните на актуальную.

 

AV_block_remove_2023.04.15-09.01.log

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Sandor сказал:

Хорошо. Что с проблемой?

Проверил через RogueKiller, угроз не найдено, спасибо вам большое! Если вам нетрудно - можете посоветовать пожалуйста антивирус/утилиту для профилактики компьютера?

Ссылка на сообщение
Поделиться на другие сайты

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

Конечно, завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...