Решена John и прочии вирусы! Хелп как от этого избавиться

[Rick]

Приветствую, проблема такова, качаю игрушки с торрента и в один из таких вечеров, загудел пк, хотя был в состоянии покоя( выкл экран) логинюсь в свою учетную запись захожу там открыт браузер с какой то стр, не помню, не столь важно, пытаюсь открыть антивирус, антивирус не открывается, в процессах висит, в маленьком окошке где время справа внизу он есть, а именно вывести на рабочий стол чтобы воспользоваться интерфейсом не получается( антивирус AVAST) прем версия вместе с аваст антитрак и аваст cleanup, кое как удалось удалить аваст с помощью avast clean, черз беопасный режим,НО антитрак и cleanup с пк не ушли, и работать не работают, то есть я не могу с ними ничего сделать, даже заново скачать, с этого все началось и это есть проблема #1( как избавиться от отсатков прем пакета антитрак и клеанап) и в дальнейшем переустановить их, тк кк антивирус я переустановил и обратно поставил
Проблема №2 и самая пугающая, что в папке пользователей появился пользователь Jonh, папку которую я удалить не могу, у меня нет прав доступа, запросите разрешение от "s1-5-21..." на изменение этой папки, так вот помогите избавиться от джона, и вирусов что заполанили мой пк. Заранее спасибо

 

[Rick]

Еще забыл, теперь при включении пк предлагает выбрать какую ос запустить 1 называется виндовс 10
а 2 Avast clenup , и при запуске пк вылазит браузер с рекламой но его блокирует брандмауэр, как удалить так же 2 ОС, и не проще вообще переустановить ОС?

 

[Rick]

Не знаю сработало или нет, но через команду выполнить lusrmgr.msc удалил эту учетную запись

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела: Правила оформления запроса о помощи

 

[Rick]

 

[Rick]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела: Правила оформления запроса о помощи

Я даже не могу скачать прогу, я скопировал адрес вставил в адресную строку выводит один адрес, а при переходе обратите внимание на адрес конечный

 

[Sandor]

Залил на облако, пробуйте.

 

[Rick]

Так скачал запустил, а где отчет найти?

Залил на облако, пробуйте.

 

[Sandor]

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела: Правила оформления запроса о помощи

Рядом с файлом AVbr.exe должна создаться папка.

 

[Rick]

а нашел, только почему то время не правильное

 

[Rick]

Вроде как он, больше нет ничего)

 

[Sandor]

Хорошо.
Будьте внимательны

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела: Правила оформления запроса о помощи

 

[Rick]

Хорошо.
Будьте внимательны

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Александр');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Александр', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Александр', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Rick]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Александр');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Александр', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Александр', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение, это ухудшает читаемость темы. Просто пишите в нижнем поле быстрого ответа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {20A48FE1-3A91-4E36-86D6-687EAE3B7F1D} - System32\Tasks\Avast Software\Avast Cleanup Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-tu\icarus.exe /update:avast-tu /silent (Нет файла)
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\Telmex
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\Symantec.cloud
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\Symantec
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\Sophos
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Webroot
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Trend Micro
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Telmex
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Symantec
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Sophos
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Seqrite
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\SentinelOne
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Quick Heal
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\NANO Antivirus
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\McAfee Security Scan
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\McAfee
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\K7 Computing
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Immunet
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\HitmanPro
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\F-Secure
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\eScan
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\EnigmaSoft
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\CheckPoint
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\BitDefender
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files\Avira
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Webroot
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Telmex
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Symantec
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Sophos
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Seqrite
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\McAfee
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Immunet
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\HitmanPro
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\F-Secure
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\eScan
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\EnigmaSoft
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\BitDefender
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\Program Files (x86)\Avira
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\KVRT2023_Data
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\KVRT2022_Data
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 __SHD C:\KVRT2021_Data
  2022-11-26 18:01 - 2022-11-28 10:40 - 000000000 ____D C:\Users\John.DESKTOP-V1QHUUK
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 ____D C:\Program Files\Fortinet
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 ____D C:\Program Files\360
  2022-11-26 18:12 - 2022-11-26 18:12 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
  2022-11-18 17:54 - 2022-11-28 12:40 - 000000000 ____D C:\Program Files\RDP Wrapper
  2022-11-18 17:54 - 2022-11-26 18:12 - 000000000 ____D C:\ProgramData\Malwarebytes
  2022-11-18 17:54 - 2022-11-26 18:12 - 000000000 ____D C:\Program Files\Malwarebytes
  2022-11-18 17:54 - 2022-11-26 18:12 - 000000000 ____D C:\Program Files (x86)\360
  FirewallRules: [{65B4BE05-136B-48A1-BABB-1BE15A3240C7}] => (Block) LPort=135
  FirewallRules: [{2A575838-2DAF-411D-B845-C2A904AE88CC}] => (Block) LPort=445
  FirewallRules: [{0364B799-6C68-4140-9745-5D2A954B1129}] => (Block) LPort=5655
  FirewallRules: [{375A269C-2381-411F-8189-F7A67CA2BC78}] => (Block) LPort=135
  FirewallRules: [{0851EE07-E9CD-45AB-AA9C-45A9628DC8B9}] => (Block) LPort=445
  FirewallRules: [{D300D74C-5CFA-4849-B4A9-711669431952}] => (Block) LPort=5655
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Rick]

Пожалуйста

 

[Sandor]

Пробуйте сейчас установить Avast и сообщите результат.

 

[Rick]

Да, все четко, джон пропал, аваст и доп утилиты от него устанавливаются и работают, спасибо!

 

[Sandor]

Отлично!

Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.