Перейти к содержанию

[РЕШЕНО] Помощь в удалении вируса (приложение заблокировано администратором)


vahooe

Рекомендуемые сообщения

Добрый день,
Прошу помощи, вчера хапнул майнера. Вроде удалил утилитой от Касперского, но все продолжилось.
Логи сделать не могу- так-как лубой логер не запускается (приложение заблокировано администратором) 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - AppLocker: Fix all (including policies)
O22 - Tasks: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Tasks: (disabled) AAct - C:\Windows\AAct.exe /ofs=act (file missing)
O22 - Tasks: (disabled) Opera scheduled Autoupdate 1677861802 - C:\Users\BOSS\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefenderwindowsupdate;
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1363133480-1512378494-3192250287-1002\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{F954DDD1-72DC-4842-9C10-2E9AAB703AF3}E:0\games\tanki\win64\worldoftanks.exe] => (Allow) E:0\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{F35138FC-6845-4442-8E1D-A11F1D649508}E:0\games\tanki\win64\worldoftanks.exe] => (Allow) E:0\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{6E9E4A6A-4F89-46E6-B3B0-F6BBA90354F0}E:0\stablep\python\python.exe] => (Allow) E:0\stablep\python\python.exe => Нет файла
FirewallRules: [UDP Query User{9AE70FAD-CE33-4F97-8F2C-4A6641E5804F}E:0\stablep\python\python.exe] => (Allow) E:0\stablep\python\python.exe => Нет файла
FirewallRules: [TCP Query User{E2D8178B-9E7A-4D12-A496-22CB4D9D6B47}E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe] => (Allow) E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{C1E872CC-777D-4688-A594-3938FDD73192}E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe] => (Allow) E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{3963C3A9-375E-464C-8111-CE0F3627E358}E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [UDP Query User{F6659BC8-F15C-4DC3-B79D-F38ABD274EDC}E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [TCP Query User{CBDB5F75-E07F-455D-8833-4417A72E841D}E:0\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [UDP Query User{6304D1C8-2F63-48A8-9206-DA642FF0C799}E:0\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\rvc-beta-v2-0528\runtime\python.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, vahooe сказал:

можно понять от куда у меня все эти беды пошли, с какого файла? 

этот майнер устанавливается после скачивания и запуска различных репаков игр или активаторов для офиса и системы.

 

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.38.1 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.32.4943 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9012 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.3.17 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.116.0.5845.188 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Driver Easy 5.8.0 v.5.8.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Carambis Driver Updater v.2.7.0.1436 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • Folclor
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • Xynire
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
×
×
  • Создать...