КоТ-64 0 Опубликовано 27 февраля Share Опубликовано 27 февраля Скачал несколько приложений с разных сайтов торрентом, одним из которых поймал вирус. Windows 10, штатный антивирус ничего не видит, при открытии gpedit.msc сразу закрывает окно. В интернете нашел решение и решил попробовать использовать av blocаk remover, но при его запуске вылезает ошибка: "Операция отменена из-за ограничений, действующих на этом компьютере". Я переименовал файл AVBr и смог запустить 1 раз, после чего окно программы закрылось спустя 2-3 секунды. Компьютер от сети интернет отключен, проблему пытаюсь решить через другой ПК Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 280 Опубликовано 27 февраля Share Опубликовано 27 февраля Здравствуйте! Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад. Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
КоТ-64 0 Опубликовано 27 февраля Автор Share Опубликовано 27 февраля (изменено) 26 минут назад, Sandor сказал: Здравствуйте! Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад. Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи AV_block_remove_2024.02.22-09.47.log CollectionLog-2024.02.27-16.52.zip Изменено 27 февраля пользователем КоТ-64 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 280 Опубликовано 27 февраля Share Опубликовано 27 февраля Сама версия AVbr у вас устаревшая. Проделайте то же самое ещё раз, только дату измените на 10 дней назад. Цитата Ссылка на сообщение Поделиться на другие сайты
КоТ-64 0 Опубликовано 27 февраля Автор Share Опубликовано 27 февраля 16 минут назад, Sandor сказал: Сама версия AVbr у вас устаревшая. Проделайте то же самое ещё раз, только дату измените на 10 дней назад. Сейчас при повторном использовании программы Автолога, были обнаружены пользователи и удалены файлы используемые дистанционно. Возможно это даже помогло... AV_block_remove_2024.02.17-17.31.log CollectionLog-2024.02.27-16.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 280 Опубликовано 27 февраля Share Опубликовано 27 февраля Да, на этот раз программа отработала успешно и уже должно полегчать. Продолжаем. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesG\RecoveryHosts - C:\Programdata\Microsoft\uwrka\script.bat (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\RecoveryData - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file) O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing) Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. При ответе не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа. Цитата Ссылка на сообщение Поделиться на другие сайты
КоТ-64 0 Опубликовано 27 февраля Автор Share Опубликовано 27 февраля (изменено) пофиксил с помощью HiJackThis, не знаю что должно было получиться по итогу, после надписи "completed" закрыл программу и перезагрузил ПК. Addition.txt FRST.txt Изменено 27 февраля пользователем КоТ-64 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 280 Опубликовано 27 февраля Share Опубликовано 27 февраля Всё верно сделали. Деинсталлируйте нежелательное ПО - Bonjour Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682] FirewallRules: [{AA01CD97-13BE-48B3-857B-B73147437DB6}] => (Allow) LPort=2799 FirewallRules: [{BC70829B-0DF5-4CA5-A939-7C8063A21D77}] => (Allow) LPort=2799 FirewallRules: [{8DB45CBD-C7CB-432B-9C0A-D5E82DD9C66D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{5AF4D5C1-9E64-41BD-AF55-01B3256E1A60}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{50BC6883-57AC-4901-9A39-90B04AE29C3E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{7128496C-B186-486F-9872-E1C034E71B87}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*" ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
КоТ-64 0 Опубликовано 27 февраля Автор Share Опубликовано 27 февраля Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 280 Опубликовано 28 февраля Share Опубликовано 28 февраля Хорошо. Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.