не могу удалить вирусы

[Zed]

да вроде норм, но только почему не пускает в майкрософт дефендер?) пишит ваш сис админ ограничил доступ), это домашний комп), и обновления не скачиваются(выдает ошибку), при перемещении папки из одной в другую спрашивает права администратора и не пускает

[Sandor]

Судя по логам, ваша система - сборка. И что там накрутил сам автор этой сборки, одному ему известно.

Можем попробовать исправить, хоть и мало шансов.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

А также удалите старые и соберите новые логи FRST.txt и Addition.txt

[Zed]

FSS.txt

 

Addition.txtFRST.txt

 

 

Addition.txtFRST.txt

Изменено 5 марта пользователем Zed

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2025-03-03 15:37 - 2025-03-03 15:40 - 000000000 ____D C:\ProgramData\F-Secure
  2025-03-03 08:55 - 2025-03-04 08:38 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
  2025-03-03 08:55 - 2025-03-03 14:28 - 000000000 ____D C:\ProgramData\Avira
  2025-03-03 08:54 - 2025-03-03 08:54 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
  "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
  "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-240"
  "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-310"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\
    69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\
    00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\
    4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00
  "LaunchProtected"=dword:00000003
  "ObjectName"="LocalSystem"
  "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
    00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
    65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
    00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
    74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
    00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
    69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
    00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
    6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,\
    00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
    65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,\
    00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,\
    68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,\
    00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,\
    73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,\
    00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,\
    50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,\
    00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,\
    63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,\
    00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,73,00,\
    65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,00,76,\
    00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,\
    65,00,6d,00,45,00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,\
    00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
    54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,\
    00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000002
  "Type"=dword:00000010
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security]
  "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\
    05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
    12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
    02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\
    14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\
    00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\
    57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\
    00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  EndRegedit:
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc]
  "DependOnService"=hex(7):57,00,64,00,4e,00,69,00,73,00,44,00,72,00,76,00,00,00,\
    00,00
  "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-242"
  "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-320"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\
    69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\
    00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4e,00,69,00,\
    73,00,53,00,72,00,76,00,2e,00,65,00,78,00,65,00,22,00,00,00
  "LaunchProtected"=dword:00000003
  "ObjectName"="NT AUTHORITY\\LocalService"
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000003
  "Type"=dword:00000010
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Parameters]
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Security]
  "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\
    05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
    12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
    02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\
    14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\
    00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\
    57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\
    00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  
  EndRegedit:
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  set-mppreference -mapsreporting basic -Force
  set-mppreference -DisableRealtimeMonitoring $false -Force
  set-mppreference -DisablePrivacyMode $true -Force
  set-mppreference -DisableIOAVProtection $false -Force
  set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
  set-mppreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  get-mppreference
  EndPowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Соберите и прикрепите новый лог FSS.txt

[Zed]

Fixlog.txt

FSS.txt

[Sandor]

Боюсь, что дальнейшие попытки исправить ситуацию могут повредить систему.

Если вам не принципиально восстановить именно Защитник, установите сторонний антивирус (можно бесплатный).

Какой? Думаю догадаетесь самостоятельно

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Zed]

SecurityCheck.txt

может вопрос не по теме) извините сразу) , а Контрстрайк то почему не работает?) ошибку пишет, специально мышку купил, абидна(

[Sandor]

А раньше работал?

2 часа назад, Sandor сказал:

Судя по логам, ваша система - сборка

Это верно?

[Zed]

да сборка, раньше КС работал, почитал форум, там какие то траблы после обновы, может из за этого конечно, но раньше все работало

[Sandor]

Посоветуйтесь в соседнем разделе форума. Ссылку на эту тему там укажите.

 

Исправьте по возможности:

Malwarebytes version 4.6.17.334 v.4.6.17.334 Внимание! Скачать обновления
SumatraPDF v.3.1.2 Внимание! Скачать обновления
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
LibreOffice 6.0.2.1 v.6.0.2.1 Внимание! Скачать обновления
AnyDesk, версия 2.2.11 v.2.2.11 Внимание! Скачать обновления
AnyDesk v.ad 8.0.9 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.015.0126.0002 Внимание! Скачать обновления
WinRAR 5.80 beta 1 (64-bit) v.5.80.1 Внимание! Скачать обновления
Discord v.1.0.9163 Внимание! Скачать обновления
Zoom Workplace v.6.2.11 (50939) Внимание! Скачать обновления
K-Lite Codec Pack 18.7.0 Full v.18.7.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

Изменено 5 марта пользователем Sandor

[Zed]

Здравствуйте еще раз, странно я даже в "Управление" не могу зайти, чтобы посмотреть какие драйвера надо ставить, это не связано с вирусом?, или это все таки из за сборки винды?

[Sandor]

А что происходит, когда пытаетесь зайти? Есть ошибка?

(По драйверам в логах претензий не было).

[Zed]

"Администратор заблокировал это приложение в целях защиты"Приложение заблокировано в целях защиты, обратитесь к системному администратору.))

 

Через центр обновления виндовс тоже ничего скачать нельзя, выдает ошибку, новый драйвер на видюху скачал с офф сайта) тоже не ставится, выдает ошибку

[Sandor]

Попробуйте создать нового пользователя с правами администратора и проверьте - будут ли и там эти же проблемы.

[Zed]

к сожалению да((( все проблемы остались, все таки придется наверно переустанавливать винду