Вирус-майнер который создал, заблокировал и скрыл папки всех существующих антивирусников по типу Malwarebytes, RogueKiller и т.д.

[L3gend444]

Всем здравствуйте. Скачивал игру с торента и походу подцепил вирус, заметил я его по тому что он заблокировал программу которая создавала виджеты на робочем столе (rainmeter), а потом я понял что при скачке антивирусника malwarebytes папка его исчезает, ярлык на рабочем столе не запускается (отказано в доступе), через win+r хочу пройти по пути к malwarebytes - отказано в доступе. Также при установке RogueKiller - отказано в доступе.

AVbr - не запускается даже когда меняю имя на любое другое.

Оставил лог с программы FRST. - https://fex.net/ru/s/eacr6o7

Прошу вас очень сильно мне помочь, сам не справлюсь! (ну в моих силах будет только переустановить виндовс, что не желательно)

[L3gend444]

Нашел как прикрепить лог FRST не через ссылку.

FRST.rar

 

Удалось запустить AutoLogger.

CollectionLog-2023.06.14-01.39.zip

[Sandor]

Здравствуйте!

 

16 часов назад, L3gend444 сказал:

AVbr - не запускается даже когда меняю имя на любое другое

Запускайте его из безопасного режима с поддержкой сети.

После перезагрузки прикрепите отчёт AV_block_remove_дата-время.log

 

Соберите новый CollectionLog Автологером.

 

Если все равно будет ошибка при запуске AVbr, переместите его в любую другую папку, кроме Рабочего стола и папки Загрузки и запускайте.

[L3gend444]

После повторного запуска AutoLogger заработал Malwarebytes и Rainmeter и перестали быть скрытыми, которые ранее не были доступны и были скрыты.

Вот логи.

CollectionLog-2023.06.14-13.19.zip AV_block_remove_2023.06.14-13.14.log

[Sandor]

Хорошо. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[L3gend444]

Вот

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender;
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Users\L3gend\Downloads\AV_block_remover
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Users\L3gend\Desktop\AV_block_remover
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Program Files\SpyHunter
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Program Files\RogueKiller
  2023-06-13 22:28 - 2023-06-13 22:28 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  FirewallRules: [{0C946B74-B3B9-4A48-8B37-246FF08BDDE5}] => (Allow) LPort=9009
  FirewallRules: [{A76B96F4-4172-47ED-93DF-15BDA4B53257}] => (Allow) LPort=9009
  FirewallRules: [{9056A264-69E7-4FDD-8915-174BA7C1464B}] => (Allow) LPort=9009
  FirewallRules: [{CE343228-7EAE-4B84-A0A5-E68CF4ECD56D}] => (Allow) LPort=9009
  FirewallRules: [{D0E4009D-3200-41D5-83B5-BBE52BFD5681}] => (Allow) LPort=9009
  FirewallRules: [{D5646ED9-711F-46C3-A635-926507D9B0C2}] => (Allow) LPort=9009
  FirewallRules: [{68D05F32-38D1-4C92-92CD-10124556E2D7}] => (Allow) LPort=9009
  FirewallRules: [{07738DA6-B73C-4A1C-A1AE-A8537CCB43EB}] => (Allow) LPort=9009
  FirewallRules: [{D2E9F9C7-4374-40CD-8A40-CE8327848C3A}] => (Allow) LPort=9009
  FirewallRules: [{CBD4BCBB-7538-4854-9CA2-A2CB8C7BC3CE}] => (Allow) LPort=9009
  FirewallRules: [{9EA94C5C-A536-4C32-82D7-24712B7D4B41}] => (Allow) LPort=9009
  FirewallRules: [{940285C5-9AD4-40A3-ABC3-9B7A0BDB2BEA}] => (Allow) LPort=9009
  FirewallRules: [{07CC1B01-5234-4C62-84FD-C6AA520BBE49}] => (Allow) LPort=9009
  FirewallRules: [{6DE73A30-3313-4A7B-8369-1F0D61D5E934}] => (Allow) LPort=9009
  FirewallRules: [{3BA7FB69-7A94-4732-A724-C349ACE1C525}] => (Allow) LPort=9009
  FirewallRules: [{430BAA8B-5A1D-41EE-885D-4F9BC7BC6916}] => (Allow) LPort=9009
  FirewallRules: [{4295845C-B8CD-4C5A-A847-3296C4D62487}] => (Allow) LPort=9009
  FirewallRules: [{FCD3FD27-7C24-4FE9-BAB0-697284C7A07B}] => (Allow) LPort=9009
  FirewallRules: [{19579C8E-968C-4DCB-961A-EC050B180868}] => (Allow) LPort=9009
  FirewallRules: [{6731899B-9EBA-44A6-B134-EABA32E6B5AE}] => (Allow) LPort=9009
  FirewallRules: [{CF46EAFC-C901-4040-9917-13C8A12EF74E}] => (Allow) LPort=9009
  FirewallRules: [{831CEA03-AFDB-4CF1-89A9-B79515B69776}] => (Allow) LPort=9009
  FirewallRules: [{B6E8EFD7-5754-4058-AB42-A61A472A7957}] => (Allow) LPort=9009
  FirewallRules: [{45416E9E-4694-4B6B-A7DA-E9FF87D34D25}] => (Allow) LPort=9009
  FirewallRules: [{CCC4CFAA-29A3-40B0-AD88-D4D9E67A87DA}] => (Allow) LPort=9009
  FirewallRules: [{2D85BFA0-4CFF-4F4A-97F6-388B3CADD6AB}] => (Allow) LPort=9009
  FirewallRules: [{F2C79349-6D0A-497F-9C90-B4AC423DA5D5}] => (Allow) LPort=9009
  FirewallRules: [{D0E0ED2A-35C7-4FA1-AF33-47FFD8F3411E}] => (Allow) LPort=9009
  FirewallRules: [{5662B023-6934-4236-9C7C-8E35B1443AC6}] => (Allow) LPort=9009
  FirewallRules: [{EACE57F7-D85E-4213-B8BC-9D2E289A4652}] => (Allow) LPort=9009
  FirewallRules: [{7076B454-D76B-4D85-AB9D-EA976DCEE25F}] => (Allow) LPort=9009
  FirewallRules: [{E49E4650-2EFC-4579-A531-11D3BB7BC6FE}] => (Allow) LPort=9009
  FirewallRules: [{CFDC8039-4376-4785-BBD5-4CDF5C770BF3}] => (Allow) LPort=9009
  FirewallRules: [{2C154843-9C15-487C-9DCF-D9935648C883}] => (Allow) LPort=9009
  FirewallRules: [{1AC6F68D-D9E5-403A-A084-7C35EABD2129}] => (Allow) LPort=9009
  FirewallRules: [{19EF6DEB-FD3B-431D-BEF1-7FA6D30A66D4}] => (Allow) LPort=9009
  FirewallRules: [{952F400C-4D75-4F29-B72F-57611F6C6D04}] => (Allow) LPort=9009
  FirewallRules: [{79BF89F6-0DE7-4A8D-B94A-D58E4817E602}] => (Allow) LPort=9009
  FirewallRules: [{CC0B72A5-5AD1-4D25-8B71-47C77A9DC927}] => (Allow) LPort=9009
  FirewallRules: [{D53BA5C6-B801-438E-BCAC-9E2E74156EFF}] => (Allow) LPort=9009
  FirewallRules: [{08D5DCEE-F068-4277-B9FA-F2B45B5FD61B}] => (Allow) LPort=9009
  FirewallRules: [{27265AE6-1B7F-4367-BAAC-2BA8C1B99795}] => (Allow) LPort=9009
  FirewallRules: [{33923963-444A-4257-9D90-F49162DB8163}] => (Allow) LPort=9009
  FirewallRules: [{E6EAC46E-A515-4603-865F-1D573DC1FD3E}] => (Allow) LPort=9009
  FirewallRules: [{2BE967D4-5A93-4B44-B19C-1626A93C173B}] => (Allow) LPort=9009
  FirewallRules: [{A1236BDA-CF64-4D61-87F5-25E618E7824D}] => (Allow) LPort=9009
  FirewallRules: [{81DDCC18-C24E-44D8-9B65-A82B641FC0B6}] => (Allow) LPort=9009
  FirewallRules: [{3FB59447-8390-42B2-8638-5560E6484726}] => (Allow) LPort=9009
  FirewallRules: [{2479A7B8-57DE-4B7D-BBB6-5E51DE405E38}] => (Allow) LPort=9009
  FirewallRules: [{494E909B-1B25-4E09-AA50-8E881B583FFB}] => (Allow) LPort=9009
  FirewallRules: [{CDEE8CE2-37C3-472E-8C41-DA6B82FE9FDD}] => (Allow) LPort=80
  FirewallRules: [{BDDB39BD-E314-4017-A090-903F1AE3C7A3}] => (Allow) LPort=9009
  FirewallRules: [{F5220C31-61DD-4B5F-B556-9288AE7A7122}] => (Allow) LPort=9009
  FirewallRules: [{3D01964D-9A3B-4572-93F6-81E128D9950F}] => (Allow) LPort=9009
  FirewallRules: [{E4072CCA-29A6-4693-9117-AB5629B78BAC}] => (Allow) LPort=9009
  FirewallRules: [{659135EF-AAA4-42EE-86AA-E0DB649115E9}] => (Allow) LPort=9009
  FirewallRules: [{010297BC-025B-486B-9DE0-1B7D87046DFE}] => (Allow) LPort=9009
  FirewallRules: [{65A2DC0E-898D-4FB0-AF98-C4E59BF47CAB}] => (Allow) LPort=9009
  FirewallRules: [{F1C60052-B0BF-426D-AE45-B611D17D995C}] => (Allow) LPort=9009
  FirewallRules: [{C13D6864-F33A-4074-8234-12B07DC4CC57}] => (Allow) LPort=9009
  FirewallRules: [{BC40D3E8-5C98-4140-8399-537C0E53A220}] => (Allow) LPort=9009
  FirewallRules: [{01C8A722-EAEB-4B08-8742-130ACA0A604A}] => (Allow) LPort=9009
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[L3gend444]

Вот, ещё я заметил проблему что не могу запустить службы Malwarebytes, фото ошибки прикрепил ниже, сможете с этим помочь? 

Fixlog.txt

[Sandor]

10 минут назад, L3gend444 сказал:

не могу запустить службы Malwarebytes

Пробуйте сначала просто переустановить - удалить, скачать и установить заново.

 

Если тоже не получится, удалите ещё раз. Затем:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.
  

После этого пробуйте ещё раз скачать и установить.

[L3gend444]

Спасибо, все помогло! Очень спасли меня!

[Sandor]

Отлично!

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[L3gend444]

Вот SecurityCheck, он пустой.

SecurityCheck.txt

[Sandor]

Что-то значит пошло не так.

Удалите программу и созданную ей папку C:\SecurityCheck\, скачайте заново и запустите.