Перейти к содержанию
Правила раздела

вирус закрывает антивирус

Romchik45

Автор Romchik45
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

RichardVirus

RichardVirus

Опубликовано
Опубликовано
В 19.01.2026 в 09:05, Sandor сказал:

Хорошо, ничего вредоносного не найдено, как и не найдено проблем с защитой.

 

Если проблема сохраняется, соберите новые CollectionLog Автологером и новые логи FRST.txt и Addition.txt

Запускаем FRST, она обновляется, после обновления выдает это.

PJhK4tGSqSE36zYl05AHgDlSzDS2k6nyegNOo7ZEI8bW30oWKvh9ezxd_7dSm1MkD0P3T-YHiUTHpUpHbUcMsigR.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Да, программа за это время обновилась.

Папку

Цитата

C:\DNB_Quarantine

упакуйте в архив с паролем virus и попробуйте прикрепить к следующему сообщению. Если превысит размер, залейте на облако (или файлообменник) и дайте ссылку на скачивание.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [Discord] => C:\ProgramData\SquirrelMachineInstalls\Discord.exe --checkInstall (Нет файла)
HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-21-2009647217-4058722035-2242085174-1001\...\Run: [YandexBrowserAutoLaunch_A31F1A128FF0FADF7EE91DDA9539ED18] => "C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\cnpeghmjdfdmneiljeibjnemfdkojdhl
FirewallRules: [{adaca35b-6f2c-4522-94a8-7440f56ebd4e}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Нет файла
FirewallRules: [{0f445929-332d-4a90-8750-63b47af15a40}] => (Allow) C:\Program Files\ldplayer9box\VBoxNetNAT.exe => Нет файла
FirewallRules: [{63017eca-ddb0-40e7-a4cf-0a90f263a097}] => (Allow) C:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [TCP Query User{0D092487-DB19-4D22-923F-FEE959A77CE1}C:\ldplayer\ldplayer9\vbox\ld9boxheadless.exe] => (Block) C:\ldplayer\ldplayer9\vbox\ld9boxheadless.exe => Нет файла
FirewallRules: [UDP Query User{D88229A6-5CB0-4108-A9D7-B11FD1FA84D5}C:\ldplayer\ldplayer9\vbox\ld9boxheadless.exe] => (Block) C:\ldplayer\ldplayer9\vbox\ld9boxheadless.exe => Нет файла
FirewallRules: [{2F923762-512C-4904-B45A-963C7C33DF2D}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\ceup.exe => Нет файла
FirewallRules: [{11BE2315-BC98-4D71-B992-C859E7A69C50}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\ceup.exe => Нет файла
FirewallRules: [{24FFEE28-C1AA-4BBB-97DD-E66A6E3B7B17}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{604700A5-FB0B-4DC9-BDA4-6C899B8371FB}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{6993D806-9473-46B8-8D0A-09F31B13918B}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{56021087-BD81-4FEC-A168-870EBDB0589E}] => (Allow) C:\Users\Пользователь\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\360mlupdate.exe => Нет файла
startpowershell:
# 10-26-2022 M. Naggar
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
Set-Service -Name windefend -StartupType Automatic -force
Get-Service windefend | Select-Object -Property Name, StartType, Status
Set-Service -Name securityhealthservice -StartupType manual -force
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\Windows\SystemTemp\*
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скрипт может выполняться длительное время, не прерывайте и дождитесь окончания с перезагрузкой.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Попутно:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Проблема ещё сохраняется?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grantjordy
      Обращение dwm.exe к https://pastebin.com/raw
      Автор Grantjordy
      Здравствуйте.
      Включил компьютер и антивирус сообщил об остановке перехода файла dwm.exe на pastebin.com/raw.
      Выдаёт следующий текст:
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-DVDF6U0\Pechka
      Тип пользователя: Инициатор
      Имя приложения: dwm.exe
      Путь к приложению: C:\Windows\System32
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://pastebin.com/raw/Gsr7EpV2?t=1769098300
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: Gsr7EpV2?t=1769098300
      Путь к объекту: https://pastebin.com/raw
      Причина: Облачная защита
      Прикладываю логи с AutoLogger.
      Также дополнительно прикладываю образ автозапуска системы, сделанного с помощью uVS.
      CollectionLog-2026.01.22-20.50.zip DESKTOP-DVDF6U0_2026-01-22_20-41-06_v5.0.3v x64.7z
    • paramorez
      Шифровальщик под именем "626"
      Автор paramorez
      Подловил шифровальщик,все разширения файлов поменялись на " .626 " 
       
      Вот файл
      CollectionLog-2018.09.29-00.22.zip
      Addition.txt
      FRST.txt
    • Kivitosik
      Подозрение на майнер, при открытии диспечера задач он закрывается
      Автор Kivitosik
      Пока диспечер задач закрыт, гп используется на 0% (смотрю через AMDSoftware). Как только закрываю диспечер, гп зпгружается на 100%. Прикрепил скрины до и после открытия диспечера задач

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
×
×
  • Создать...