[РЕШЕНО] Помогите висят вирусы в разрешённых угрозах нажимаю не разрешать после перезахода появляются заново что делать?

[sidorovicvana]

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

Полученный архив прикрепите к следующему сообщению в этой теме.

[sidorovicvana]

Когда нажимаю на угрозы из списка разрешенных не разрешать при перезаходе появляюся снова.

CollectionLog-2022.07.06-21.21.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Sandor]

Здравствуйте!

 

Система заражена разными типами вредоносных программ.

Лечить будем в несколько этапов, поэтому наберитесь терпения и постарайтесь самостоятельно ничего не скачивать, не устанавливать, не играть в онлайн игры и т.п.

 

Первый этап:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Изменено 7 июля, 2022 пользователем Sandor

[sidorovicvana]

AV_block_remove_2022.07.07-09.24.log CollectionLog-2022.07.07-09.32.zip

Дополнительно: при сканировании авблокером, удалил неизвестного пользователя John

[Sandor]

Хорошо, логи уже выглядят лучше.

 

Второй этап:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 QuarantineFile('C:\Users\Ivan Sidorovich\appdata\roaming\drpsu\alice\cloud.exe', '');
 QuarantineFile('C:\Users\Ivan Sidorovich\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteFile('C:\ProgramData\VКDJ\VКDJ.exe', '64');
 DeleteFile('C:\Users\Ivan Sidorovich\appdata\roaming\drpsu\alice\cloud.exe', '32');
 DeleteFile('C:\Users\Ivan Sidorovich\AppData\Roaming\Microsoft\Windows\Helper.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для контрольной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[sidorovicvana]

4 минуты назад, Sandor сказал:

Файл - Выполнить скрип

 

CollectionLog-2022.07.07-09.52.zip

[Sandor]

Отлично. Третий этап:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[sidorovicvana]

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Startup: C:\Users\Ivan Sidorovich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk [2021-07-23] <==== ВНИМАНИЕ
  Task: {33710992-29A8-4C28-97D8-26088235A33F} - System32\Tasks\Smart Clock => C:\Users\Ivan Sidorovich\AppData\Roaming\Smart Clock\SmartClock.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2022-07-07 09:47 - 2022-01-12 20:55 - 000000000 ____D C:\WINDOWS\system32\Tasks\System
  2022-07-07 09:47 - 2021-07-05 00:43 - 000000000 ____D C:\ProgramData\RobotDemo
  2022-07-07 09:47 - 2021-06-12 10:06 - 000000000 ____D C:\Program Files (x86)\Transmission
  AdShield 1.0.0.1 (HKLM-x32\...\{4c026a1d-556e-4f63-87b1-6f23b56f3fee}) (Version: 1.0.0.1 - Limbo Solutions) Hidden
  Power System 1.5.3.3 (HKLM-x32\...\{17924d68-d166-4a49-8b36-08067a6da3f3}) (Version: 1.5.3.3 - Ribeiro et Fils) Hidden
  ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
  ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
  ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
  ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
  FirewallRules: [{49D4E535-7DDE-4E6C-8650-9CFDA8DDF31B}] => (Allow) C:\Users\Ivan Sidorovich\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

AdShield 1.0.0.1

Power System 1.5.3.3

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

[sidorovicvana]

Вопрос. Куда вставлять скрипт?

 

[Sandor]

Никуда. Он выполнится из буфера обмена.

[sidorovicvana]

Fixlog.txt

Программы удалил через geek т.к не было кнопки удалить

 

[Sandor]

Хорошо. Что сейчас с проблемой?

[sidorovicvana]

Спасибо вам огромное пропали все угрозы которые не удалялись.