Перейти к содержанию
Правила раздела

Помогите с удалением вирусов и прочего через Farbar Recovery Scan Tool

Вова8002

Автор Вова8002
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо.

Ещё вопрос - компьютер домашний или рабочий?

 

Деинсталлируйте нежелательную программу

Цитата

Bonjour

 

Вова8002

Вова8002

Опубликовано
  • Автор
Опубликовано

компьютер домашний

Bonjour удалил через панель управления

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKU\S-1-5-21-3832214133-2125886516-4045387764-1000 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKU\S-1-5-21-3832214133-2125886516-4045387764-1000 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3832214133-2125886516-4045387764-1000\...\MountPoints2: {d726dd6d-b83c-11ed-9a63-7c10c91910ba} - "F:\WifiAutoInstallSetup.exe" 
IFEO\EOSnotify.exe: [Debugger] /
IFEO\InstallAgent.exe: [Debugger] /
IFEO\MusNotification.exe: [Debugger] /
IFEO\MusNotificationUx.exe: [Debugger] /
IFEO\remsh.exe: [Debugger] /
IFEO\SihClient.exe: [Debugger] /
IFEO\UpdateAssistant.exe: [Debugger] /
IFEO\upfc.exe: [Debugger] /
IFEO\UsoClient.exe: [Debugger] /
IFEO\WaaSMedic.exe: [Debugger] /
IFEO\WaasMedicAgent.exe: [Debugger] /
IFEO\Windows10Upgrade.exe: [Debugger] /
IFEO\Windows10UpgraderApp.exe: [Debugger] /
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {20174636-C86B-4B14-A9B8-E7501B1733F9} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
Task: {6312B6C4-B4C5-49E4-8653-A6FFA6AB43B4} - \Microsoft\Windows\WindowsBackup\RecoveryData -> Нет файла <==== ВНИМАНИЕ
Task: {64C47A34-1270-4279-B90B-70F1A71A0D36} - \Microsoft\Windows\WindowsBackup\ManagerService -> Нет файла <==== ВНИМАНИЕ
Task: {7489035C-9B47-42C1-B9B0-E5D40F05C91E} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
Task: {A721F2C4-35EF-4165-B69E-9D0AD1C87DA4} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {ADF49612-BAE0-4028-B9B5-5FA4DFBE6BD5} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
AutoConfigURL: [{C877F31E-4649-4724-B07B-4E94983507F4}] => 123456789 <==== ВНИМАНИЕ
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3832214133-2125886516-4045387764-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2023-09-25 16:49 - 2023-09-27 21:41 - 000005050 _____ C:\rdpwrap.txt
2023-09-25 16:49 - 2023-09-25 16:49 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-09-25 16:49 - 2023-09-25 16:49 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [2594]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8564]
FirewallRules: [{393AD198-79AE-4D4C-B62C-DE289E4F49AB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5ECED351-6E8C-42A2-BE92-CAE5F1CC6788}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{51CD2A53-99E4-4C31-8F1C-F9A086E7E239}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{B92046A5-2CB0-4854-8B99-A3D92C18E1A8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • MrKrutoy
      [РЕШЕНО] Toool.btcMine.2782
      Автор MrKrutoy
      Столкнулся с вирусом. Прикрепляю логи.
      AV_block_remove_2025.12.04-20.35.log
    • Kaross
      Компьютер стал работать на 100% интернет проседает.
      Автор Kaross
      Компьютер стал работать на 100% интернет проседает, вентиляторы работают на всю мощь , интернет работает сначала 10мб потом скидывается до 3мб у соседа нормально всеCollectionLog-2025.12.02-21.41.zip
      report1.log report2.log report1.log
    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...