Решена Как удалить вирус John, блокирующий браузер

[Neexan]

сегодня включаю компьютер и теперь вирус мне не дает открыть даже хром, просто его удалил

Решена - Как полностью удалить вирус "John"?

Вирус "John" после удаления его через Avbr и перезагрузки компьютера он моментально возвращается и его опять приходится удалять через Avbr Скрипт AutoLogger не запускался, поэтому пришлось удалить Johnа Avbr ом, перед тем как запустить AutoLogger

www.safezone.cc

вот прошлая тема, сейчас никак не могу даже Avbr открыть, помогите пожалуйста

 

[regist]

сейчас никак не могу даже Avbr открыть, помогите пожалуйста

что значит не можете открыть? Подробней можно?

 

[Neexan]

что значит не можете открыть? Подробней можно?

закрывается моментально, даже когда переименовал саму программу

 

[regist]

Файл которым заразились сохранился?
И вы точно скачали актуальную версию программы? Или пытаетесь использовать давно устаревшую оставшуюся с прошлого раза?
И если программа актуальная и не запускается, то попробуйте в безопасном режиме. Но с актуальной версией таких проблем быть не должно, подозреваю, что вы старую запускаете.

 

[Neexan]

Файл которым заразились сохранился?

не знаю каким файлом заразился

И вы точно скачали актуальную версию программы?

до этого пробовал старой версией, сейчас скачал новую, все равно при открывании создает папку, в которой файл taskhostw, при открытии этой программы она моментально закрывается, если переименовать происходить то же самое

И если программа актуальная и не запускается, то попробуйте в безопасном режиме.

сейчас попробую, после проверки сразу отпишу

 

[Neexan]

И если программа актуальная и не запускается, то попробуйте в безопасном режиме

получилось, правда никаких логов не дало, только это и папка Quarantine

 

[regist]

Это потому что вы делаете не понятно.
1) Хватит каждый раз цитировать всё сообщение.
2) Прочитали бы описание. Утилита обновляется каждый день. уже завтра будет новая версия и хранить и использовать даже недельной давности утилиту нет смысла, она просто не будет запускаться. Точней запуститься и скажет, что устарела, а потом закроется.
3) Кто просил вас заходить в папку утилиты и там что-то запускать? Запустите утилиту как положено и прекрепите её лог, а не занимайтесь самодеятельностью.

 

[Neexan]

мне эта утилита не дает никакого лога, она лишь создает папку AV_block_remover, никаких текстовых документов нет

 

[Neexan]

@regist, ой, извините за мою тупость меня, сейчас скачал еще раз с вашего сайта авз и наконец сработало в безопасном режиме вот все логи, также в файле есть карантин и backup

 

[regist]

Сейчас должно было полегчать.
Соберите теперь логи по правилам раздела Автологером.

 

[Neexan]

@regist, вот

 

[Neexan]

кстати еще перестал работать хром, я сейчас поменял настройки владельца, теперь он открывается с этой ошибкой, тоже не знаю как ее исправлять, а хром мне очень важен, не могу его удалить

 

[Sandor]

Автологер запустите уже в нормальном (не в безопасном) режиме и соберите новый CollectionLog.

 

[Neexan]

@Sandor, вот

 

[Sandor]

"Пофиксите" в HijackThis:

O4 - HKCU\..\RunOnce: [Application Restart #1] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62374 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@154.16.58.85:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152032159\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #10] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62285 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@179.61.187.245:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152032066\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #11] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62343 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@31.6.36.185:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152032118\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #12] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62398 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@5.180.50.100:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152032222\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #4] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=52718 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@31.6.36.127:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152030191\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #6] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62209 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@179.61.132.36:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152030131\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #7] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62238 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@154.16.58.159:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152030172\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #8] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62283 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@154.16.58.17:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152032035\data_dir" --restore-last-session --restart (not signed)
O4 - HKCU\..\RunOnce: [Application Restart #9] = C:\Users\zxc\AppData\Roaming\dolphin_anty\browser\197\anty.exe --disable-field-trial-config --down-port=62281 --load-extension="C:\Users\zxc\AppData\Roaming\dolphin_anty/extensions/anty/5" --locale=de --new-extensions --no-sandbox --origin-trial-disabled-features=WebGPU --proxy-bypass-list="\"*anty-api.com; https://dolphin-anty-api.com\"" --proxy-server=http://dXNlcjkwNjUzOjJkOTZneA:base64@154.16.58.53:8538 --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" --user-data-dir="C:\Users\zxc\AppData\Roaming\dolphin_anty\browser_profiles\152030260\data_dir" --restore-last-session --restart (not signed)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Перезагрузите компьютер.
Включите защиту от подделки по этой инструкции (была отключена майнером):

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Neexan]

@Sandor,
1) Не было пункта: O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 (Все остальное было - сделал)
2) Включил
3) Прикрепил

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 14\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 15\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 16\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 18\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 20\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 21\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 22\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 23\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 28\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 29\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 31\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 32\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 33\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 34\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 35\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 36\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 37\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 38\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 39\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\zxc\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  2023-10-26 20:31 - 2023-10-26 20:31 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-10-26 20:30 - 2023-10-27 19:24 - 000005050 _____ C:\rdpwrap.txt
  2023-10-26 20:30 - 2023-10-26 20:30 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
  AV: Dr.Web Security Space (Enabled - Up to date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
  AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
  FirewallRules: [{05E4765C-FD77-479F-9747-CC448C28298D}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{E5FF3364-0D58-43A4-AD0E-EC3062EFFD93}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{B0E352FD-64B1-4C4E-AE9F-6D965CFF719A}] => (Block) LPort=445
  FirewallRules: [{57A045B7-0441-4D3F-A8D1-335D8103F532}] => (Block) LPort=445
  FirewallRules: [{C9566397-C835-4683-86BB-69A42AD39B15}] => (Block) LPort=139
  FirewallRules: [{F34455CB-6E14-426D-939D-4665EA86BAEF}] => (Block) LPort=139
  FirewallRules: [{846019EE-25BC-46E6-8664-9C585BFF63A8}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{456C0813-D802-458B-90A6-99B1F048A8D4}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В браузере Хром у вас очень много профилей. Всеми пользуетесь? Если не всеми, удалите лишние.

 

[Neexan]

В браузере Хром у вас очень много профилей. Всеми пользуетесь? Если не всеми, удалите лишние.

@Sandor, Всеми профилями пользуюсь

 

[Sandor]

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Neexan]

@Sandor,