Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

не могу удалить вирусы

Zed

Автор Zed
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • Zed

    17

  • Sandor

    15

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
Только не используйте устаревшую версию Автологера, скачайте заново актуальную.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
46 минут назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.
Только не используйте устаревшую версию Автологера, скачайте заново актуальную.

Теперь это, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\DRM\YhgopHxP\MasterDataT.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Users\serg\AppData\Roaming\utorrent\pro\nodeupdate.vbs', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataT\RecoveryHosts');
 DeleteSchedulerTask('NodeUpdate');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\ProgramData\Microsoft\DRM\YhgopHxP\MasterDataT.bat', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('C:\Users\serg\AppData\Roaming\utorrent\pro\nodeupdate.vbs', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - HKLM\..\Run: [DriversSetup] = C:\THUNDEROBOT\DriversSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{7f546fef-f531-11ef-8d39-e4c7674e3652}\shell\AutoRun\command: (default) = D:\setup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O22 - Tasks_Migrated: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask (file missing)
O22 - Tasks_Migrated: Temp - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Деинсталлируйте программу

Цитата

Client Helper 6.1.4

Если не получится стандартно, удалите принудительно с помощью Geek Uninstaller

 

Далее:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [SmartScreenEnabled] 0
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
IFEO\calc.exe: [Debugger] 
IFEO\CompatTelRunner.exe: [Debugger] 
IFEO\upfc.exe: [Debugger] 
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {2145958F-00D3-461F-99C7-FEF5E12F30BA} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {2D7DA2E9-DDD4-4E13-BAE2-F17C322208A6} - \Microsoft\Windows\WindowsBackup\OfficeCheck -> Нет файла <==== ВНИМАНИЕ
Task: {51966869-C657-4813-9F33-A0CE5B4A5DFD} - \Microsoft\Windows\WindowsBackup\BackUpFiles -> Нет файла <==== ВНИМАНИЕ
Task: {AB287EF1-0234-47E9-BD6E-E44B19E1A16B} - \CCleaner Update -> Нет файла <==== ВНИМАНИЕ
Task: {C1C40525-1855-4142-8B77-068AD233CE62} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
Task: {CE73F863-190A-45F1-8A71-B58D9F0F7B61} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
Task: {E5D411A9-7A02-48BE-8409-09E7255FCBFB} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2540103328-205840358-1883184113-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
WebkitSupport (HKLM-x32\...\{ED75E291-7E02-4065-B551-E87A9F0A0717}) (Version: 1.0.0 - Apple Inc.) Hidden
FirewallRules: [{9F1FD8E9-CA40-4AA8-A661-365CD0DDD019}] => (Allow) C:\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{6417E8BA-6F08-4D16-9BB2-413FA9391ED5}] => (Allow) LPort=3306
FirewallRules: [{B323F12E-352D-4925-8830-A4E09DC8773C}] => (Allow) LPort=33060
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки в перечне установленных программ появится скрытая ранее

Цитата

WebkitSupport

Тоже деинсталлируйте.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alksmn
      Не могу удалить not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen
      Автор alksmn
      CollectionLog-2025.07.09-07.42.zip
      Здравствуйте! 
      Антивирус находит и удаляет, но при запуске хрома, опять вылетает
      Событие: Объект удален
      Пользователь: MAG\lksmn
      Тип пользователя: Инициатор
      Имя приложения: chrome.exe
      Путь к приложению: C:\Program Files\Google\Chrome\Application
      Компонент: Файловый Антивирус
      Описание результата: Удалено
      Тип: Рекламное приложение
      Название: not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen
      Точность: Частично
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: bundle.js
      Путь к объекту: C:\Users\lksmn\AppData\Local\Google\Chrome\User Data\Default\Extensions\adlpodnneegcnbophopdmhedicjbcgco\3.5.5_0\caa
      MD5 объекта: 81870BBC34F5D9A911DC2B0B03B7876A
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Copcheny
      не могу удалить вирус taskhost
      Автор Copcheny
      Здравствуйте, скачивал kmsauto и скорее всего от туда поймал вирус taskhost. Смог заметить его в Мониторе ресурсов. Пробовал через разные антивирусы и гайды в интернете ничего не помогает или я сам что то не то делаю. Пожалуйста помогите с решением проблемы
×
×
  • Создать...