удаление троянов

[eeerok0411]

при запуске dr.web нужно было его обновить, при загрузке сайта написало, а сайт выдал ошибку из-за вируса, один из вирусов был удален, но в последующих действиях я нашел еще 2 трояна минимум (trojan.multi.lockedfolder.a, trojan.multi.genautorunreg.a), я попытался удалить эти вирусы, но у меня это не получилось и при перезагрузке ПК на несколько секунд появляется 3 окна с командными строками (cmd и powershell), а также отсутствует точка восстановления и не устанавливается антивирус malwarebytes, ещё на пк присутствует John, как я понял после прочтения пары тем на форуме.

Изменено 14 сентября, 2023 пользователем eeerok0411
вспомнил ещё детали

[thyrex]

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите логи в данной теме.

[eeerok0411]

держите! и да, также ЦП и ОЗУ загружаются очень сильно

CollectionLog-2023.09.15-16.14.zip

Изменено 15 сентября, 2023 пользователем eeerok0411
ещё детали

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[eeerok0411]

готово Downloads.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache
HKU\S-1-5-21-3408492327-3209595394-820085523-1001\...\Policies\Explorer: [DisallowRun] 1
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {B43C485B-4029-4F2E-9A28-82CB04E074B3} - \Microsoft\Windows\WindowsBackup\Filesystem -> Нет файла <==== ВНИМАНИЕ
Task: {CE78ABDF-FBAF-448C-9AB8-942490AD3E52} - System32\Tasks\Microsoft\Windows\MapInfoS\DekaUGOGd7pC0 => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {2C0F587F-6779-42F0-9280-E2235A796434} - System32\Tasks\Microsoft\Windows\MapInfoS\RecoveryHosts => C:\ProgramData\Microsoft\MapData\DekaUGOGd7pC0\MapInfoS.bat [2774 2023-09-08] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {3A8F5203-B40F-4E20-A98D-E3A1BE96DB4E} - System32\Tasks\Microsoft\Windows\MapInfoS\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\MapData\DekaUGOGd7pC0\MapInfoS.bat
C:\ProgramData\Microsoft\MapData\DekaUGOGd7pC0
Task: {F499B6D2-5AE3-4529-A100-3E8DB4A1ABAA} - System32\Tasks\Microsoft\Windows\WindowsBackup\OfficeCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {82D9BFC6-1BF5-4DC9-BC01-91F0B1D564A6} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {23F0F441-7DC3-4E96-8055-B2A11838E33D} - System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {BC50ABDA-36F9-4DEB-A400-71874F18E884} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\User\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
AlternateDataStreams: C:\Users\User\Downloads\hfg6fdhjjhk9.exe:MBAM.Zone.Identifier [186]
AlternateDataStreams: C:\Users\User\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
HKU\S-1-5-21-3408492327-3209595394-820085523-1001\...\StartupApproved\Run: => "MediaGet2"
HKLM\...\StartupApproved\Run: => "Realtek HD Audio"
HKU\S-1-5-21-3408492327-3209595394-820085523-1001\...\StartupApproved\Run: => "uFiler"
FirewallRules: [TCP Query User{3A5049C9-A512-4EA9-978D-EEBF7AE4309D}C:\users\user\downloads\telegram desktop\dying_light_the_following-2740799.exe] => (Block) C:\users\user\downloads\telegram desktop\dying_light_the_following-2740799.exe => Нет файла
FirewallRules: [UDP Query User{839FE701-51A8-41F3-8F5A-9141D58AE6BE}C:\users\user\downloads\telegram desktop\dying_light_the_following-2740799.exe] => (Block) C:\users\user\downloads\telegram desktop\dying_light_the_following-2740799.exe => Нет файла
FirewallRules: [TCP Query User{8B17DAA9-9932-4F21-AA94-47A7535A45D5}C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe] => (Allow) C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe => Нет файла
FirewallRules: [UDP Query User{0CE2813E-8858-46E6-AD7C-E5A1F010B22D}C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe] => (Allow) C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe => Нет файла
FirewallRules: [{098DAA8B-3BF4-43B4-BAE7-6C36621AA419}] => (Block) C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe => Нет файла
FirewallRules: [{503FD92D-D19E-4082-8595-8A8D180FD001}] => (Block) C:\users\user\downloads\s.t.a.l.k.e.r._shadow_of_chernobyl-286683.exe => Нет файла
FirewallRules: [TCP Query User{DAC20B76-0B25-43AC-B1FA-810E960B9696}C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe] => (Allow) C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe => Нет файла
FirewallRules: [UDP Query User{327E40E6-7F41-45D2-9CA1-76E8C64608D7}C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe] => (Allow) C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe => Нет файла
FirewallRules: [{59767743-8AEE-45A8-8EDF-5FBEC728280B}] => (Block) C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe => Нет файла
FirewallRules: [{B68C7BB9-B4F3-4926-9851-990B2DBB60D6}] => (Block) C:\users\user\downloads\telegram desktop\dead_space_3-474701.exe => Нет файла
FirewallRules: [TCP Query User{5DD457CA-A367-4D37-8F2B-6F4D5E000FD7}C:\users\user\downloads\just_shapes-2596831.exe] => (Allow) C:\users\user\downloads\just_shapes-2596831.exe => Нет файла
FirewallRules: [UDP Query User{8A225E4E-E0C4-4C73-BFD9-504CC44119B2}C:\users\user\downloads\just_shapes-2596831.exe] => (Allow) C:\users\user\downloads\just_shapes-2596831.exe => Нет файла
FirewallRules: [{0D2F3CE9-EBC7-4D54-8570-6A9425620282}] => (Block) C:\users\user\downloads\just_shapes-2596831.exe => Нет файла
FirewallRules: [{0B710B21-F924-48F7-B705-1B65469288F0}] => (Block) C:\users\user\downloads\just_shapes-2596831.exe => Нет файла
FirewallRules: [TCP Query User{1694F570-B931-4107-A098-E410E7AE2493}C:\users\user\downloads\hello_charlotte-595706.exe] => (Allow) C:\users\user\downloads\hello_charlotte-595706.exe => Нет файла
FirewallRules: [UDP Query User{89436D10-7868-4882-A9F4-AF1E44F746DD}C:\users\user\downloads\hello_charlotte-595706.exe] => (Allow) C:\users\user\downloads\hello_charlotte-595706.exe => Нет файла
FirewallRules: [{CA959E10-812F-4C3A-8731-776B522092A2}] => (Block) C:\users\user\downloads\hello_charlotte-595706.exe => Нет файла
FirewallRules: [{2AA4E9C0-43AE-4372-AA54-54C3C5CF507A}] => (Block) C:\users\user\downloads\hello_charlotte-595706.exe => Нет файла
FirewallRules: [TCP Query User{86F8E8C2-2BF4-4BDC-8339-D4C7CE5E35ED}C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe] => (Allow) C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe => Нет файла
FirewallRules: [UDP Query User{067F5420-B9C2-4971-A4AF-A61DE4D10F86}C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe] => (Allow) C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe => Нет файла
FirewallRules: [{5C19C55D-15D9-49D7-ACC1-3A12CF2071F5}] => (Block) C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe => Нет файла
FirewallRules: [{66EFF6BF-A57E-4684-BBB1-E3B224F2D176}] => (Block) C:\users\user\downloads\robin_morningwood_adventure_-_a_gay_rpg-2757350.exe => Нет файла
FirewallRules: [TCP Query User{DC45737F-D30F-47B6-87A0-2369033C3E3D}C:\users\user\downloads\rust-2824328.exe] => (Allow) C:\users\user\downloads\rust-2824328.exe => Нет файла
FirewallRules: [UDP Query User{AEE2C61A-9585-45CA-91EE-754747083125}C:\users\user\downloads\rust-2824328.exe] => (Allow) C:\users\user\downloads\rust-2824328.exe => Нет файла
FirewallRules: [{01FBB306-6D09-444E-8595-C807E92BB466}] => (Block) C:\users\user\downloads\rust-2824328.exe => Нет файла
FirewallRules: [{8ACCCA3D-72D1-43B0-AD2B-BCA12A586987}] => (Block) C:\users\user\downloads\rust-2824328.exe => Нет файла
FirewallRules: [TCP Query User{10FD0B34-2494-4126-BF48-EE8DA90F2926}C:\users\user\downloads\the_witcher-465028.exe] => (Allow) C:\users\user\downloads\the_witcher-465028.exe => Нет файла
FirewallRules: [UDP Query User{5F867B05-90FF-4606-87EF-B4C3F7DF537B}C:\users\user\downloads\the_witcher-465028.exe] => (Allow) C:\users\user\downloads\the_witcher-465028.exe => Нет файла
FirewallRules: [{6E33CD9F-AD5E-4809-BF73-5A9B0F32E3C6}] => (Block) C:\users\user\downloads\the_witcher-465028.exe => Нет файла
FirewallRules: [{7A94B5DC-8B4A-46CE-8F78-FEE443D0EF34}] => (Block) C:\users\user\downloads\the_witcher-465028.exe => Нет файла
FirewallRules: [TCP Query User{7EAA492F-38FB-4A72-A730-79E35FFF45BA}C:\users\user\downloads\cuphead-2767330.exe] => (Allow) C:\users\user\downloads\cuphead-2767330.exe => Нет файла
FirewallRules: [UDP Query User{407126EC-EBB8-411A-B897-19DC2B76B99B}C:\users\user\downloads\cuphead-2767330.exe] => (Allow) C:\users\user\downloads\cuphead-2767330.exe => Нет файла
FirewallRules: [TCP Query User{8DAA4C86-AA86-4C7C-8C76-15096107E0A6}C:\users\user\downloads\rusty_lake_hotel-541343.exe] => (Allow) C:\users\user\downloads\rusty_lake_hotel-541343.exe => Нет файла
FirewallRules: [UDP Query User{31D97A5E-A636-4DD2-8703-0CB0D668ED0A}C:\users\user\downloads\rusty_lake_hotel-541343.exe] => (Allow) C:\users\user\downloads\rusty_lake_hotel-541343.exe => Нет файла
FirewallRules: [TCP Query User{B0443B06-E99E-415B-8488-560459B2279D}C:\users\user\downloads\amanda_the_adventurer-2837100.exe] => (Allow) C:\users\user\downloads\amanda_the_adventurer-2837100.exe => Нет файла
FirewallRules: [UDP Query User{843CC0A2-4C93-4497-A9B0-445AA969E848}C:\users\user\downloads\amanda_the_adventurer-2837100.exe] => (Allow) C:\users\user\downloads\amanda_the_adventurer-2837100.exe => Нет файла
FirewallRules: [TCP Query User{41FFD132-1A0A-496A-B1A5-922D0C188786}C:\users\user\downloads\sekiro_shadows_die_twice-1612382.exe] => (Allow) C:\users\user\downloads\sekiro_shadows_die_twice-1612382.exe => Нет файла
FirewallRules: [UDP Query User{5F2C12F6-861B-467E-ABA7-F370277601C5}C:\users\user\downloads\sekiro_shadows_die_twice-1612382.exe] => (Allow) C:\users\user\downloads\sekiro_shadows_die_twice-1612382.exe => Нет файла
FirewallRules: [TCP Query User{9CDEA6C3-C035-45E7-B2A9-AA1288C8B7BB}C:\users\user\downloads\terraria-2799941.exe] => (Allow) C:\users\user\downloads\terraria-2799941.exe => Нет файла
FirewallRules: [UDP Query User{5A9BD94E-5DAA-4FCD-A627-7DE58FE541AC}C:\users\user\downloads\terraria-2799941.exe] => (Allow) C:\users\user\downloads\terraria-2799941.exe => Нет файла
FirewallRules: [{3E4E47CA-C755-4D49-88D0-721FBE497DAF}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{AC667D40-2E15-4A30-8126-9DC065D22F52}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{620072E1-2344-4E6E-8D1F-EF37EE12F9E5}] => (Block) LPort=445
FirewallRules: [{1709F844-4309-4305-8407-F4E8AB3211F6}] => (Block) LPort=445
FirewallRules: [{826B2840-55A4-46DD-9349-802C65DD6E69}] => (Block) LPort=139
FirewallRules: [{8BE3EF65-F0A2-4665-8F1B-AE4173F55F8E}] => (Block) LPort=139
FirewallRules: [{2166DA58-11F8-4685-BF92-DA9E32B4C24B}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{E67A7EBF-4B04-408C-B562-C3E1813833F1}] => (Allow) LPort=3389
2023-09-08 13:09 - 2023-09-08 13:09 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-09-08 13:09 C:\ProgramData\princeton-produce
2023-09-08 13:09 C:\Users\User\AppData\Roaming\Sysfiles
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

[eeerok0411]

Fixlog.txt

тоже готово!

AV_block_remove_2023.09.15-21.15.log

[thyrex]

Защиту от подделки включите по инструкции https://safezone.cc/threads/42659/

 

Проблема решена?

[eeerok0411]

при открытии диспетчера задач ЦП загружен на 100%, как и жёсткий диск, но потом сразу же пропадает, а окна при перезагрузке или запуске ПК перестали всплывать

[thyrex]

Кратковременная загрузка диспетчера задач при его открытии - это нормальное поведение системы

[eeerok0411]

спасибо большое! тогда проблема решена

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.