Перейти к содержанию

Майнинг вирус


Рекомендуемые сообщения

Скачал несколько приложений с разных сайтов торрентом, одним из которых поймал вирус. Windows 10, штатный антивирус ничего не видит, при открытии gpedit.msc сразу закрывает окно. В интернете нашел решение и решил попробовать использовать av blocаk remover, но при его запуске вылезает ошибка: "Операция отменена из-за ограничений, действующих на этом компьютере". Я переименовал файл AVBr и смог запустить 1 раз, после чего окно программы закрылось спустя 2-3 секунды. Компьютер от сети интернет отключен, проблему пытаюсь решить через другой ПК

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, Sandor сказал:

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

 

AV_block_remove_2024.02.22-09.47.log

CollectionLog-2024.02.27-16.52.zip

Изменено пользователем КоТ-64
Ссылка на сообщение
Поделиться на другие сайты

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

Ссылка на сообщение
Поделиться на другие сайты
16 минут назад, Sandor сказал:

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

Сейчас при повторном использовании программы Автолога, были обнаружены пользователи и удалены файлы используемые дистанционно. Возможно это даже помогло...

AV_block_remove_2024.02.17-17.31.log CollectionLog-2024.02.27-16.41.zip

Ссылка на сообщение
Поделиться на другие сайты

Да, на этот раз программа отработала успешно и уже должно полегчать.

 

Продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesG\RecoveryHosts - C:\Programdata\Microsoft\uwrka\script.bat (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\RecoveryData - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

При ответе не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Ссылка на сообщение
Поделиться на другие сайты


 

пофиксил с помощью HiJackThis, не знаю что должно было получиться по итогу, после надписи "completed" закрыл программу и перезагрузил ПК.

Addition.txt FRST.txt

Изменено пользователем КоТ-64
Ссылка на сообщение
Поделиться на другие сайты

Всё верно сделали.

 

Деинсталлируйте нежелательное ПО - Bonjour

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
    FirewallRules: [{AA01CD97-13BE-48B3-857B-B73147437DB6}] => (Allow) LPort=2799
    FirewallRules: [{BC70829B-0DF5-4CA5-A939-7C8063A21D77}] => (Allow) LPort=2799
    FirewallRules: [{8DB45CBD-C7CB-432B-9C0A-D5E82DD9C66D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{5AF4D5C1-9E64-41BD-AF55-01B3256E1A60}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{50BC6883-57AC-4901-9A39-90B04AE29C3E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{7128496C-B186-486F-9872-E1C034E71B87}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...