Решена Чистка ПК от вирусов
- Автор темы Draft
- Дата начала
- Статус
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Здравствуйте!
Действительно, болячек накопилось достаточно. Будем чистить.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером из нормального режима.
Действительно, болячек накопилось достаточно. Будем чистить.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером из нормального режима.
После открытия AVblock, идёт процесс распаковки и появляется ошибка
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Так пробовали?
Да, так же ошибка появляется
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Следующие шаги выполняйте в нормальном режиме.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('46e5e26200bf9509');
StopService('afdb9a15cfb4f3f8');
StopService('afdbf4cf7091d9f8');
QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
QuarantineFile('C:\ProgramData\windowstask\xmrig-cuda.dll', '');
QuarantineFile('C:\Users\zzz\AppData\Local\Temp\4ab201b48f.sys', '');
QuarantineFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AltezaUpdate.exe', '');
QuarantineFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.jar', '');
QuarantineFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.vbs', '');
QuarantineFile('C:\Users\zzz\AppData\Roaming\System\svchost.exe', '');
QuarantineFile('C:\WINDOWS\TEMP\1cac9d7b.sys', '');
QuarantineFile('C:\WINDOWS\TEMP\1d00ffaa.sys', '');
QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
DeleteFile('C:\ProgramData\windowstask\xmrig-cuda.dll', '');
DeleteFile('C:\Users\zzz\AppData\Local\Temp\4ab201b48f.sys', '64');
DeleteFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AltezaUpdate.exe', '');
DeleteFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AltezaUpdate.exe', '64');
DeleteFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.jar', '64');
DeleteFile('C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.vbs', '64');
DeleteFile('C:\Users\zzz\AppData\Roaming\System\svchost.exe', '64');
DeleteFile('C:\WINDOWS\TEMP\1cac9d7b.sys', '64');
DeleteFile('C:\WINDOWS\TEMP\1d00ffaa.sys', '64');
DeleteService('46e5e26200bf9509');
DeleteService('afdb9a15cfb4f3f8');
DeleteService('afdbf4cf7091d9f8');
DeleteFileMask('c:\programdata\windowstask', '*', true);
DeleteDirectory('c:\programdata\windowstask');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Код:
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.vbs (2020/03/14)
O4 - Startup: C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AltezaUpdate.exe -> (PE EXE)
O4 - Startup: C:\Users\zzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.jar
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %ProgramFiles(x86)%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\AutoIt3\AutoItX
O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1
O22 - Tasks_Migrated: DRPNPSCLOUD - C:\WINDOWS\system32\mshta.exe "https://update.drp.su/nps/cloud/bin/tools/run.hta" "4.2.1" "" "01D10B2BAT13H5698DWM8982MA"
O22 - Tasks_Migrated: DRPNPSCLOUD - C:\WINDOWS\system32\SCHTASKS.exe /Delete /TN DRPNPSCLOUD /FДля повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Хорошо, теперь запустите AVbr (в нормальном режиме).
p.s.
Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижнем поле быстрого ответа.
p.s.
Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижнем поле быстрого ответа.
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Покажите отчет
Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3222369071-4278657167-4035212597-1001\...\MountPoints2: {011efcb2-e728-11e9-a39e-b06ebfceee37} - "E:\setup.exe" HKU\S-1-5-21-3222369071-4278657167-4035212597-1001\...\MountPoints2: {28262975-1a5f-11ea-a3c6-b06ebfceee37} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3222369071-4278657167-4035212597-1001\...\MountPoints2: {3cf343c8-8d9b-11ec-a6ef-b06ebfceee37} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3222369071-4278657167-4035212597-1001\...\MountPoints2: {b403156d-dac5-11e9-a392-b06ebfceee37} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3222369071-4278657167-4035212597-1001\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4780136 2021-05-13] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: C:\WINDOWS\Tasks\ASC8_SkipUac_zzz.job_ => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe C:\Users\zzz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk C:\Users\zzz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh C:\Users\zzz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne U1 avgbdisk; отсутствует ImagePath S3 botglbcvxw; \??\C:\WINDOWS\etlzlqsopg.sys [X] S3 gfipkrwehi; \??\C:\WINDOWS\zdymvgbtbu.sys [X] S3 oxvfabrian; \??\C:\WINDOWS\nlqsrjsotq.sys [X] S3 rhraopoyur; \??\C:\WINDOWS\oskypiqjfi.sys [X] S3 rxhuvwkuov; \??\C:\WINDOWS\hrsigtgdiw.sys [X] S3 zkthzriyax; \??\C:\WINDOWS\iruyklqfsv.sys [X] AS: Kaspersky Free (Disabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65} ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882] AlternateDataStreams: C:\WINDOWS\System32:tdsrset.gfc [5846] AlternateDataStreams: C:\WINDOWS\System32:tdsrset_i.gfc [5846] AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\zzz:Heroes & Generals [38] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [480] AlternateDataStreams: C:\Users\zzz\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\zzz\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\zzz\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\zzz\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\zzz\AppData\Local\Temp:$DATA [16] FirewallRules: [{24B9B898-F45E-4F7F-97F7-A32827057830}] => (Allow) LPort=1688 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
Хорошо.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Для верности сделайте дополнительно:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Для верности сделайте дополнительно:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
- Сообщения
- 16,478
- Решения
- 1
- Реакции
- 3,449
В безопасном режиме выполните следующий скрипт:
Подробнее читайте в этом руководстве.
- Выделите следующий код:
Код:Start:: CloseProcesses: S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X] R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [223176 2022-11-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes) S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2022-11-30] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes) S3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239544 2022-11-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes) 2022-11-30 10:40 - 2022-11-30 11:29 - 000002048 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk 2022-11-30 10:40 - 2022-11-30 10:39 - 000158640 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys 2022-11-30 10:40 - 2022-11-30 10:39 - 000021480 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys Unlock: C:\Program Files\Malwarebytes\ C:\Program Files\Malwarebytes\ ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll -> Нет файла HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver" Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Статус
