Решена Диспетчер задач выключается самопроизвольно
- Автор темы _CatDere_
- Дата начала
- Статус
- Сообщения
- 8,435
- Реакции
- 5,453
Выполните скрипт в AVZ C:\Users\user\Desktop\AutoLogger\AV\av_z.exe из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
После перезагрузки системы соберите новый CollectionLog Автологером
Прикрепите логи CollectionLog и лог AV block remover к следующему сообщению.
Код:
begin
TerminateProcessByName('c:\windows\dllhost.exe');
TerminateProcessByName('c:\windows\data\apiwindriver.exe');
QuarantineFile('C:\Users\user\AppData\Local\Programs\Ghostery\0daefe7f14.msi', '');
QuarantineFile('c:\windows\dllhost.exe', '');
QuarantineFile('c:\windows\data\apiwindriver.exe', '');
DeleteFile('c:\windows\data\apiwindriver.exe', '32');
DeleteFile('c:\windows\dllhost.exe', '32');
DeleteFile('C:\Users\user\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
DeleteFile('C:\Users\user\AppData\Local\Programs\Ghostery\0daefe7f14.msi', '64');
DeleteFile('C:\ProgramData\programmer-probability\bin.exe', '64');
DeleteFile('C:\WINDOWS\dllhost.exe', '64');
DeleteService('WinService');
DeleteService('Transmission');
DeleteFileMask('C:\Users\user\AppData\Local\Programs\Transmission\', '*', true);
DeleteDirectory('C:\Users\user\AppData\Local\Programs\Transmission\');
DeleteFileMask('C:\Users\user\AppData\Local\Programs\Ghostery\', '*', true);
DeleteDirectory('C:\Users\user\AppData\Local\Programs\Ghostery\');
DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-215368049-355827124-3196499865-1001');
DeleteSchedulerTask('privacy-plaza');
ExecuteSysClean;
Executerepair(21);
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
После перезагрузки системы соберите новый CollectionLog Автологером
Прикрепите логи CollectionLog и лог AV block remover к следующему сообщению.
- Сообщения
- 8,435
- Реакции
- 5,453
Подготовьте логи FRST: Как подготовить лог Farbar Recovery Scan Tool
- Сообщения
- 8,435
- Реакции
- 5,453
Отключите до перезагрузки антивирус (подключение к Интернету не отключайте).
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-215368049-355827124-3196499865-1001\...\Run: [Browser Manager] => C:\Users\user\AppData\Local\Yandex\BrowserManager\MBLauncher.exe (Нет файла)
HKU\S-1-5-21-215368049-355827124-3196499865-1001\...\Run: [MediaGet2] => C:\Users\user\MediaGet2\mediaget.exe --minimized (Нет файла)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0CB61B33-6B5F-4A04-887F-C3E6AF367476} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {1B3C99BF-605D-4B7A-A05A-625502814F0D} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {8348849B-A335-4719-912E-9DF858435234} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {E9BB2F94-E1DB-4BD8-9FA6-CD4D6342B13A} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd]
CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKU\S-1-5-21-215368049-355827124-3196499865-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
OPR Notifications: Opera Stable -> hxxps:\/\/best-loan-info.com; hxxps:\/\/ccleaner-download.xyz; hxxps:\/\/mail-notification.info; hxxps:\/\/mnthor.xyz; hxxps:\/\/pinghauz.xyz; hxxps:\/\/s-tracking.xyz; hxxps:\/\/supertopfreegames.com; hxxps:\/\/zarabotok-online.xyz
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
OPR Extension: (Find-it.Pro Search) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2022-03-30]
YAN Notifications: Default -> hxxps://csgo.fail; hxxps://skins.cash; hxxps://vk.com; hxxps://vpautine.ru; hxxps://www.faceit.com
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2022-03-30]
S1 aimyybza; \??\C:\WINDOWS\system32\drivers\aimyybza.sys [X]
S1 igorrlxe; \??\C:\WINDOWS\system32\drivers\igorrlxe.sys [X]
S1 juddodst; \??\C:\WINDOWS\system32\drivers\juddodst.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
S1 pjfxhuut; \??\C:\WINDOWS\system32\drivers\pjfxhuut.sys [X]
S1 xnbdbphp; \??\C:\WINDOWS\system32\drivers\xnbdbphp.sys [X]
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-215368049-355827124-3196499865-1001\...\{84e5d491-be98-4022-a977-690fc9143c2f}) (Version: 1.0.0.0 - Ghostery) Hidden
LightGoldenRodYellow key 2.2.1.62 (HKLM-x32\...\{efb29cb6-89a1-41e0-a094-3996eab8b3f1}) (Version: 2.2.1.62 - Centeno y Preciado e Hija y Asoc.) Hidden
Side Filter 1.2.5.51 (HKLM-x32\...\{2a8fa9d6-82d4-479e-99da-970466f58fc1}) (Version: 1.2.5.51 - Leger S.A.S. SARL) Hidden
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490]
AlternateDataStreams: C:\Users\user\Application Data:9e1811b514796fb3fd8d48513cdb9024 [394]
AlternateDataStreams: C:\Users\user\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:9e1811b514796fb3fd8d48513cdb9024 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
CMD: netsh advfirewall reset
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
- Сообщения
- 8,435
- Реакции
- 5,453
Деинсталлируйте следующие программы (если не выходит стандартно, используйте Geek Uninstaller):
Kaspersky Internet Security (HKLM-x32\...\InstallWIX_{D891550B-ACFE-4797-B368-BCFC434BBEB1}) (Version: 20.0.14.1085 - Лаборатория Касперского)
- устаревшая версия, обновите до последней.
Сообщите, что с проблемой?
Kaspersky Internet Security (HKLM-x32\...\InstallWIX_{D891550B-ACFE-4797-B368-BCFC434BBEB1}) (Version: 20.0.14.1085 - Лаборатория Касперского)
- устаревшая версия, обновите до последней.
Сообщите, что с проблемой?
- Сообщения
- 8,435
- Реакции
- 5,453
- Отключите до перезагрузки антивирус (сеть при этом не отключайте).
- Выделите следующий код:
Код:
Код:Start:: SystemRestore: On CreateRestorePoint: StartBatch: ECHO Y|CHKDSK C: /F pushd c:\windows\system32 bcdedit.exe /set {default} recoveryenabled yes net stop bits net stop cryptSvc net stop wuauserv net stop msiserver del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" netsh winsock reset catalog netsh int ipv4 reset reset.log netsh int ipv6 reset reset.log ipconfig /release ipconfig /renew ipconfig /flushdns ipconfig /registerdns net start bfe net start bits net start cryptSvc net start eventsystem net start msiserver net start rpcss net start sdrsvc net start trustedinstaller net start vss net start winmgmt net start wuauserv netsh winhttp reset proxy bitsadmin /list /allusers bitsadmin /reset /allusers netsh advfirewall reset netsh advfirewall set allprofiles state ON EndBatch: cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow cmd: winmgmt /salvagerepository cmd: winmgmt /verifyrepository cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: WINMGMT.EXE /RESYNCPERF ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions C:\Windows\Temp\*.* C:\WINDOWS\system32\*.tmp C:\WINDOWS\syswow64\*.tmp EmptyTemp: Reboot: End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
- Сообщения
- 8,435
- Реакции
- 5,453
Приложения деинсталлировали?
Напоследок: деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите.
Подготовьте лог SecurityCheck by glax24: https://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.zip
Напоследок: деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите.
Подготовьте лог SecurityCheck by glax24: https://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.zip
- Сообщения
- 8,435
- Реакции
- 5,453
По возможности обновите:
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1198.18362.0 Внимание! Скачать обновления
Kaspersky Internet Security v.20.0.14.1085 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.28 v.6.1.28 Внимание! Скачать обновления
FileZilla Client 3.47.2.1 v.3.47.2.1 Внимание! Скачать обновления
Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2146.9 Внимание! Скачать обновления
Zoom v.5.7.8 (1247) Внимание! Скачать обновления
Skype, версия 8.65 v.8.65 Внимание! Скачать обновления
ProtonVPN v.2.0.0 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
iTunes v.12.12.3.5 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Opera Stable 88.0.4412.74 v.88.0.4412.74 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Microsoft Edge v.101.0.1210.47 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
+
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
+
www.safezone.cc
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1198.18362.0 Внимание! Скачать обновления
Kaspersky Internet Security v.20.0.14.1085 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.28 v.6.1.28 Внимание! Скачать обновления
FileZilla Client 3.47.2.1 v.3.47.2.1 Внимание! Скачать обновления
Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2146.9 Внимание! Скачать обновления
Zoom v.5.7.8 (1247) Внимание! Скачать обновления
Skype, версия 8.65 v.8.65 Внимание! Скачать обновления
ProtonVPN v.2.0.0 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
iTunes v.12.12.3.5 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Opera Stable 88.0.4412.74 v.88.0.4412.74 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Microsoft Edge v.101.0.1210.47 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
+
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
+
Рекомендации после удаления вредоносного ПО
Удалите инструменты, которые были использованы во время лечения: Как правильно удалить AVZ Как правильно удалить Malwarebytes' Anti-Malware Как правильно удалить ComboFix Как правильно удалить OTL by OldTimer Как правильно удалить AdwCleaner Как правильно удалить Farbar Recovery Scan Tool Как...
- Сообщения
- 14,900
- Решения
- 4
- Реакции
- 6,834
@_CatDere_ а можете посмотреть. что у вас находится в папке "C:\Program Files\Common Files\AV" ?
- Статус
Похожие темы
- Закрыта
