В работе Как побороть вирус JHON: проблема с блокировкой

[Sandor]

Хорошо.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

MediaGet

Далее:
"Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\StartupApproved\Run: [AF_counter_2139460] = 3 (file missing) (2024/09/23)
O4 - HKCU\..\StartupApproved\Run: [AF_uuid_2139460] = 78a141bb-711f-4e17-b1d4-2cf36ea2664f (file missing) (2024/09/23)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

Перезагрузите компьютер.

Удалите старые и соберите новые логи FRST.txt и Addition.txt (как в начале темы).

 

[gunjaalex]

Вот что вышло я видел в одной из строк медиагет галки там не ставил при том что я его удалил

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-4131465055-2739310749-896033039-1001\...\Run: [MediaGet2] => "C:\Users\gunja\MediaGet2\mediaget.exe" --minimized (Нет файла)
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-4131465055-2739310749-896033039-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
  Unlock: C:\Users\gunja\OneDrive\Рабочий стол\AV_block_remover
  Unlock: C:\Users\gunja\OneDrive\Рабочий стол\AutoLogger
  Unlock: C:\Users\gunja\OneDrive\Рабочий стол\fedg.exe
  FirewallRules: [{B2FD53A5-09E9-4C44-8631-666CB8218C58}] => (Allow) C:\Users\gunja\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{D1E237B9-90F0-4B38-9218-BDC4D5EFE91A}] => (Allow) C:\Users\gunja\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{A60328BA-C07B-4727-9DAA-344222CA7B1B}] => (Allow) C:\Users\gunja\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{341F6CC0-1589-4F67-BF2B-DF988DCCB873}] => (Allow) C:\Users\gunja\MediaGet2\QtWebEngineProcess.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[gunjaalex]

Вот он

 

[Sandor]

Хорошо. Ещё один небольшой скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Проверьте и сообщите решена ли проблема.

 

[gunjaalex]

вот

 

[gunjaalex]

Исчез ,пользователь Джон Доу. И как будто, комп притих .В целом. Это круто !

 

[akok]

Тогда завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.