Поймал вирус. Нужна помочь в удалении.

[Evgeny96]

Скачивал игру. Нажал на ссылку и пошло скачивание, далее установил и понял что это совсем не то, что ожидал. Повторно перешёл по той же ссылке и всё скачалось как и должно было изначально. Через некоторое время заметил, что процессор начал сильно греться, хотя ранее такого не было. Проверил систему Dr.Web Cureit, нашлись вирусы. трояны и Tool.BtcMine.2714. Вроде бы всё удалено, но папка с названием Avira лежит на диске и удалить не возможно (отказано в доступе), и "Program" в автозапуске - остались.

Установить антивирус невозможно - отказано в доступе. 

CollectionLog-2026.03.12-21.47.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\microsoft\win.exe','');
 DeleteFile('C:\ProgramData\microsoft\win.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\RecoveryHosts');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).

Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Evgeny96]

Здравствуйте! quarantine.7z отправил с помощью формы отправки карантина

AV_block_remove_2026.03.12-23.31.log

прикрепляю

CollectionLog-2026.03.12-23.44.zip

 

Не удалось отправить "quarantine.7z отправил с помощью формы отправки карантина", т.к. размер превышает допустимый. Отправил письмом

Изменено 12 марта пользователем Evgeny96

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Evgeny96]

прикрепляю

farbar.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {92385A2B-EF3A-480F-A7F4-59E0D2E01050} - System32\Tasks\AIMemoryBoost => "C:\Program Files\GIGABYTE\AIMemoryBoostModule\GbtVarDumpCmd.exe"  (Нет файла)
Task: {11ABC4BB-AEDA-458F-A15F-7F3AA00890AB} - System32\Tasks\AMDInstallUEP => C:\Program Files\AMD\InstallUEP\AMDInstallUEP.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
ProxyServer: [S-1-5-21-3720011601-533584092-3585088300-1001] => hxxp://127.0.0.1:12334
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009","hxxp://startmain.ru/","hxxp://mail.ru/cnt/10445?gp=811560","hxxp://rusearch.co","hxxps://mail.ru/cnt/10445?gp=812209","hxxps://mail.ru/cnt/10445?gp=812205"
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S2 AUEPLauncher; "C:\Program Files\AMD\CIM\..\Performance Profile Client\AUEPDU.exe" [X]
S2 HiddifyTunnelService; "C:\Program Files\WindowsApps\Hiddify.HiddifyNext_2.0.5.0_x64__pvn3df8hp03bc\HiddifyCli.exe" tunnel run [X]
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
EndPowerShell:
FirewallRules: [{E5EBA70F-C3F3-46C0-9116-C9FA1BFAC7DA}] => (Allow) C:\GAMES\Steam.exe => Нет файла
FirewallRules: [{F47EEFCE-4B8E-42F1-8F2C-960440760B0D}] => (Allow) C:\GAMES\Steam.exe => Нет файла
FirewallRules: [{19BCC4F3-25FC-444D-8AA8-964BCF0DABB8}] => (Allow) C:\ВСЁВСЁВСЁ\Steam\Steam.exe => Нет файла
FirewallRules: [{F2549558-9E73-4BF7-8CA8-314388C5F702}] => (Allow) C:\ВСЁВСЁВСЁ\Steam\Steam.exe => Нет файла
FirewallRules: [{61F87699-294E-496D-A11A-8966F7D3E196}] => (Allow) C:\GAMES\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{EF25270E-1A50-493A-A62A-77B9B0FBB12D}] => (Allow) C:\GAMES\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{702D5518-EB71-4942-BD7C-3C998E44416F}] => (Allow) C:\Zona\Zona.exe => Нет файла
FirewallRules: [{AEEB4B6D-2385-4F4E-B54C-DA0FFEEF9CD9}] => (Allow) C:\Zona\Zona.exe => Нет файла
FirewallRules: [{39E35D53-E6EF-4B69-AE87-9E8224720772}] => (Allow) C:\GAMES\Steam\steamapps\common\Enlisted\bpreport.exe => Нет файла
FirewallRules: [{A09EA649-6084-43B3-89B9-EBB9BAE2F8E5}] => (Allow) C:\GAMES\Steam\steamapps\common\Enlisted\bpreport.exe => Нет файла
FirewallRules: [{7E6CF495-7A46-401E-A6CD-997DB91DAC03}] => (Allow) C:\GAMES\Steam\steamapps\common\Enlisted\BattlEye\BEService_x64.exe => Нет файла
FirewallRules: [{293C04DA-C32F-47D3-82EA-9B47CD958532}] => (Allow) C:\GAMES\Steam\steamapps\common\Enlisted\BattlEye\BEService_x64.exe => Нет файла
FirewallRules: [TCP Query User{FEDB6E4E-D9D6-42B7-BF59-CEF5DA772F33}C:\games\spintires\spintires.exe] => (Allow) C:\games\spintires\spintires.exe => Нет файла
FirewallRules: [UDP Query User{DDA5561A-2924-4AE5-BAF9-805F69FEB70F}C:\games\spintires\spintires.exe] => (Allow) C:\games\spintires\spintires.exe => Нет файла
FirewallRules: [TCP Query User{3C805B21-BEB1-4EA5-B2D0-C0FEAB7A4860}C:\users\евгений\downloads\anydesk.exe] => (Allow) C:\users\евгений\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{47C047F1-AB5E-4322-8685-333F87B55B76}C:\users\евгений\downloads\anydesk.exe] => (Allow) C:\users\евгений\downloads\anydesk.exe => Нет файла
FirewallRules: [{B88EAA87-F649-49D3-8956-0573161F4DE0}] => (Allow) C:\GAMES\ Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{2C0641A0-2571-423D-BC0F-DD1A6D6ECB36}] => (Allow) C:\GAMES\ Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [TCP Query User{168CD580-6DF8-4A97-9B95-C688DE5CB9DE}C:\games\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\games\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{49A7268E-6CDA-47C0-9110-2A9B9D40566D}C:\games\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\games\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{8A7B8061-F31D-4FC8-9939-BCFA04C222B2}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{F4B8BD10-65F8-49D1-A2E4-37C506ED6FA9}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [{2C8F218C-B7C9-40C5-824E-D7363AAB83AC}] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [{FF7397E0-7018-4093-9DBA-D241A3A7FB81}] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.52.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [{24FF92E1-54AA-4F0F-93DD-89DB4E8FEA65}] => (Allow) C:\Program Files\WindowsApps\Hiddify.HiddifyNext_2.0.5.0_x64__pvn3df8hp03bc\Hiddify.exe => Нет файла
FirewallRules: [{51A0C586-065E-49F0-8DCF-37D84A9E27E8}] => (Allow) C:\Program Files\WindowsApps\Hiddify.HiddifyNext_2.0.5.0_x64__pvn3df8hp03bc\HiddifyCli.exe => Нет файла
FirewallRules: [{1ACE6594-78DA-42DB-9A3D-999B05B8B49B}] => (Allow) C:\GAMES\GameCheck RU\GameCheck.exe => Нет файла
FirewallRules: [{BAFA6FBA-601B-4099-BB14-985805B4BD6F}] => (Allow) C:\GAMES\GameCheck RU\GameCheck.exe => Нет файла
FirewallRules: [TCP Query User{C492BC17-6F19-4DF0-9665-15B6B44C6B01}C:\unravel two\unraveltwo.exe] => (Allow) C:\unravel two\unraveltwo.exe => Нет файла
FirewallRules: [UDP Query User{40BD9031-EF85-4B12-9B35-B497A4001952}C:\unravel two\unraveltwo.exe] => (Allow) C:\unravel two\unraveltwo.exe => Нет файла
FirewallRules: [TCP Query User{F8C43B3A-F672-45DC-A385-61029CF45749}C:\games\city car driving\bin\win32\starter.exe] => (Allow) C:\games\city car driving\bin\win32\starter.exe => Нет файла
FirewallRules: [UDP Query User{166CF52E-5B3D-400D-8D1D-9CCFF4D6257D}C:\games\city car driving\bin\win32\starter.exe] => (Allow) C:\games\city car driving\bin\win32\starter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Evgeny96]

на Farbar Recovery Scan Tool вышло обновление, и теперь оно не запускается 

[thyrex]

Скачайте новую версию с помощью телефона и перенесите на компьютер.

[Evgeny96]

.

Fixlog.txt

[thyrex]

Временно отключите антивирус или выполните скрипт ниже в безопасном режиме загрузки

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Evgeny96]

.

Fixlog.txt

[thyrex]

Запускаете Farbar от имени Администратора? Попробуйте выполнить скрипт в безопасном режиме.

[Evgeny96]

Запустил в безопасном режиме

Fixlog.txt

[Sandor]

Удалите вручную лишние исключения за Защитника Windows.