Помогите удалить вирус!!

[heathern]

К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(

(Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[heathern]

вроде это

CollectionLog-2025.11.09-17.13.zip

log.txt info.txt

Изменено 9 ноября пользователем heathern

[heathern]

Я решила сделать одну перезагрузку, и теперь этот майнер (или что это вообще такое) закрывает resmon. А ещё я нашла там ну уж очень странные процессы с рандомными цифрами и буквами, а именно там было: Ys7Wh0U6i8.exe 7Hr2fRETZI2dN8.exe  GxPycW3554DkE.exe и подобные. Доктор веб не находит вообще ничего, каждый раз когда ищу в инете инфу про процессы и пытаюсь остановить, у меня просто все вылетает (надеюсь что мне вообще ответят, ведь это кошмар)

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

[*]Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[heathern]

нормально ли то, что когда я хочу запустить его, мне защита винды не даёт этого сделать? стремно как-то просто, не хватало ещё одного вируса (если норм все, то я уберу защиту и скачаю)

[Sandor]

Нормально. Это ложное срабатывание Защитника Windows. Запускайте смело.

[heathern]

Архив ZIP - WinRAR.zip

[thyrex]

Архив пустой

[heathern]

щас исправлю всеАрхив ZIP - WinRAR.zip

извиняюсь, затупила и забыла добавить файлы 

Изменено 10 ноября пользователем heathern

[thyrex]

Ни в одних логах ничего вредоносного в принципе нет. 

 

Почистим немного мусора.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
IFEO\KMmpeg.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {BD043C16-49F9-481F-A5CE-7354E9B4E0C3} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe  (Нет файла)
HKU\S-1-5-21-1804366634-153743014-505811268-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-1804366634-153743014-505811268-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-1804366634-153743014-505811268-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-1804366634-153743014-505811268-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{F9130942-6F40-4AF2-9B37-E85D959FE84D}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{BFD48D23-246A-4566-A6F3-9F90D1C1C914}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [TCP Query User{3B0F46A7-5021-42FC-9D48-F747D26415E5}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{FB5F1536-072F-4CEC-A3C7-EB0FDD7EA8CF}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.44.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [TCP Query User{25A18F8B-B6F0-49A3-920D-A1BF03344C57}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{EF3F0388-7385-4F0B-84B6-E587DCD246DA}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [{785387EA-A38E-45CB-83D5-8D5AC4E3CD6F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Нет файла
FirewallRules: [{445DE9CC-65CA-4ABE-ADE5-ABA0A46018F8}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[heathern]

почему то при запуске, мне выдает "Это приложение нельзя запустить на вашем пк" и дальше просто просят обратится к издателю. Не знаете как это пофиксить можно?

[thyrex]

Не дает запустить FRST?

[heathern]

ну точнее "Невозможно запустить" и для нужной версии стоит обратится к издателю. Я ещё попробую это убрать, но не получается пока (само приложение запускается, но после появляется эта ошибка и все закрывается, я пробовала там чет сделать в самом FRST но кнопка fix не работает, когда я вставляю код) 

[Sandor]

Программа вчера обновилась, скачайте ещё раз и пробуйте запустить.

 

Вставлять код никуда не нужно, только скопировать, он будет взят из буфера обмена.