[РЕШЕНО] Помогите устранить последствия присутствия майнера

[setl1ne]

Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[setl1ne]

Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления

CollectionLog-2025.11.17-16.23.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

[Sandor]

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[setl1ne]

AV_block_remove_2025.11.17-16.45.log

CollectionLog-2025.11.17-16.55.zip

[Sandor]

Хорошо, продолжаем.

 

Через Параметры - Приложения деинсталлируйте нежелательное ПО:

Цитата

uTorrentClient 2.8.1

Кнопки сервисов Яндекса на панели задач

 

Если программа ScreenConnect Client неизвестна (или не ставили самостоятельно) - тоже удалите.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = 0
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Tasks: \Microsoft\Windows\DataBaseU\RecoveryHosts - C:\ProgramData\Microsoft\MapData\5jV7JZDqi6nLsgVNv\DataBaseU.bat (file missing)
O22 - Tasks: UpdateTorrent - C:\Users\setl1ne\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (not signed - GitHub, Inc. - 2FF42F3BE623990E964DDD2B60DAF4ED47B697AB)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[setl1ne]

FRST.txtAddition.txtFRST.txtскриншот при удалении панелей яндекса

[Sandor]

Удалите принудительно с помощью Geek Uninstaller

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-20\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-21-2742000641-2774251559-98696418-500\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://rusearch.co/?ya=0924"
  C:\Users\setl1ne\AppData\Local\Google\Chrome\User Data\Default\Extensions\gponplefgnkbjnihgekicbefcobfccpa
  C:\Users\setl1ne\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp
  S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  U4 RLM-BorisFX; отсутствует ImagePath
  2025-11-17 14:37 - 2025-11-17 14:37 - 000000000 ___SH C:\ProgramData\tg.txt
  2025-11-17 14:37 - 2025-11-17 14:37 - 000000000 ___SH C:\ProgramData\temp.txt
  2025-11-17 04:34 - 2025-11-17 16:55 - 000000000 ____D C:\Users\setl1ne\AppData\Roaming\uTorrentClient
  2025-11-17 04:34 - 2025-11-17 04:34 - 000000970 _____ C:\Users\setl1ne\uTorrentClient.dat
  2025-11-17 04:33 - 2025-11-17 04:33 - 000000000 ____D C:\Users\setl1ne\AppData\Local\utorrentclient-updater
  2025-11-17 16:46 - 2025-05-03 13:22 - 000000000 ____D C:\Program Files (x86)\IObit
  2025-11-17 04:29 - 2025-11-17 04:29 - 000000970 _____ () C:\Users\setl1ne\setup.dat
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjkhkjq [0]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5174]
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[setl1ne]

Fixlog.txt

[Sandor]

Хорошо. Какие-то ещё проблемы наблюдаете?

[setl1ne]

восстановление работает, но amd adrenalin все еще выдает ошибку 195

[Sandor]

Удалите (или переместите) скачанный файл. Скачайте заново и пробуйте установить.

[setl1ne]

удалил установочный файл, перезапустил пк, скачал новый, все та же ошибка

 

[Sandor]

Попробуйте определить - ошибка появляется при установке только этой программы или для других тоже?

[setl1ne]

nox установился штатно. попробовал еще удалить adrenalin и установить, но установщик все так же не работает, только теперь еще и драйверов нет