[РЕШЕНО] Вирусы

[LevaAttacker]

Здравствуйте! Недавно ставил чистую винду с форматированием дисков, и каким-то образом появились майнеры, и удалить их никак не могу, Также, когда пытаюсь открыть regedit, он сразу же закрывается.

Изменено Понедельник в 19:55 пользователем LevaAttacker

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[LevaAttacker]

Я запустил программу autologger но он не прогнал мне тест просто создал папку с файлами также результаты теста Dr.Web Curelt                      

 

Получилось после перезагрузки прогнать автолог

CollectionLog-2026.03.10-08.23.zip

Изменено вчера в 04:26 пользователем LevaAttacker

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: JJQN02SOF0L22C4CP3 - C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}\DllHost.exe (file missing)

 

Найдите отчёт "доктора" в виде файла C:\Users\attac\cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Сделайте полную проверку Malwarebytes, результаты сохраните в текстовый файл и тоже прикрепите.

 

 

[LevaAttacker]

Сделал глубокую проверку в malewarebytes и обычную проверку в dr web

logs.zip

Изменено вчера в 06:20 пользователем LevaAttacker

[Sandor]

Пока вижу реакцию "доктора" на нежелательное ПО и Malwarebytes ложные срабатывания.

 

Посмотрим ещё так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[LevaAttacker]

Вот результаты сканирования
 

FRST.txt Addition.txt

Изменено вчера в 06:43 пользователем LevaAttacker

[Sandor]

Некоторое время подождите, пожалуйста. 

[Sandor]

Сделаем некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKU\S-1-5-21-3191805828-3067704573-642490563-1001\...\Run: [Windscribe] => "C:\Program Files\Windscribe\Windscribe.exe" --autostart (Нет файла)
  HKU\S-1-5-18\...\Run: [RazerAppEngine] => "C:\Program Files\Razer\RazerAppEngine\RazerAppEngine.exe" --url-params=apps=synapse --launch-force-hidden=synapse (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
  Task: {4E7749B9-CF99-4E4E-BA2F-8100415334E0} - System32\Tasks\JJQN02SOF0L22C4CP3 => C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}\DllHost.exe  (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxps://vk.com/levaattack","hxxps://www.youtube.com/","hxxps://e.mail.ru/login?from=mail.login","hxxps://www.instagram.com/","hxxp://mail.ru/cnt/10445?gp=831102","hxxp://tgmgo.com","hxxp://mail.ru/cnt/10445?gp=855103","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://rusearch.co"
  Folder: C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}
  2026-03-01 11:37 - 2026-03-01 11:37 - 000003578 _____ C:\WINDOWS\system32\Tasks\JJQN02SOF0L22C4CP3
  AlternateDataStreams: C:\desktop.ini:CachedTiles [2466]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2348]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[LevaAttacker]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[LevaAttacker]

Сейчас получается открыть регедит, и вирусов не видать, спасибо огромное ❤️❤️❤️❤️

[Sandor]

Ну, мы тут дочищали только некоторые хвосты и мусор. Вероятно утилитами сам вредонос был уже удалён.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[LevaAttacker]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

NVIDIA App 11.0.5.420 v.11.0.5.420 Внимание! Скачать обновления
Microsoft Visual C++ v14 Redistributable (x86) - 14.50.35710 v.14.50.35710.0 Внимание! Скачать обновления
Yandex Browser v.25.12.4.1259 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera GX Stable 127.0.5778.96 v.127.0.5778.96 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

 

Читайте Рекомендации после удаления вредоносного ПО