Поймал майнер, компьютер стал тормозить, не дает установить антивирусы и заходить на антивирусные сайты. Защитник виндоус не находит угроз. AVZ не открывается в обычном режиме (в безопасном открывается и работает). После смены расширения и запуска с "ag=y am=y" запустился, но угроз не нашел. Прикрепляю логи из AutoLogger и просто из avz, может кто-то может помочь.
Решена Лечение вируса
- Автор темы Schulick
- Дата начала
- Сообщения
- 3,879
- Реакции
- 2,430
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
После выполнения скрипта в AV block remover автологер начал работать сам по себе.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Предварительно выгрузите его, если запущен (из системного лотка рядом с часами).
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteSchedulerTask('BBK');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
DeleteFileMask('c:\programdata\realtekhd', '*', true);
DeleteDirectory('c:\programdata\realtekhd');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Не удалось удалить нежелательное ПО: в программах и компонентах Менеджера Браузеров и ничего похожего я не нашёл (если я правильно вас понял). (рис.1)
Скрипт в AVZ не выполняется из-за ошибки. (рис.2,3).
Farbar Recovery Scan Tool пока не скачивал.
Вложения
- Сообщения
- 3,879
- Реакции
- 2,430
Нужно использовать AVZ из папки Autologger
- Сообщения
- 3,879
- Реакции
- 2,430
Какого черта Вы задали в строке поиска слово "Менеджер"? После того, как Вы зашли в Программы и компоненты у Вас отображается список установленных программ, в котором найти Менеджер браузеров можно простым просмотром списка.
Вероятнее всего, так и есть, потому что ни простым просмотром, ни поиском я эту программу не нашёл.
Скрипт AVZ выполнил, просканировал Farbar, отчёты прикрепляю.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
"Менеджер браузеров" уже должен быть виден в перечне установленных программ. Пробуйте удалить.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Task: {291A072F-6DE2-4759-82A6-54B43B8BB2FE} - System32\Tasks\Advance PC-Care_Logon => C:\Program Files\Advance PC-Care\adpc.exe startuplaunch (Нет файла) Task: {5780D924-D337-4020-B20B-F9BE670E13A3} - System32\Tasks\Browserupdphenix => C:\Users\Администратор\AppData\Local\Browserupdphenix\Browserupdphenix.exe [922112 2019-12-18] () [Файл не подписан] <==== ВНИМАНИЕ C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\geidjeefddhgefeplhdlegoldlgiodon C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\geidjeefddhgefeplhdlegoldlgiodon C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 12\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 13\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 13\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 13\Extensions\geidjeefddhgefeplhdlegoldlgiodon C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 13\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 14\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 14\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb CHR HKU\S-1-5-21-3438716344-3034781438-1970818824-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [ekmeppjgajofkpiofbebgcbohbmfldaf] CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] CHR HKLM-x32\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] CHR HKLM-x32\...\Chrome\Extension: [lfgkmlldjpjacgicdjmmgcboihbghpal] CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] AV: Kaspersky Internet Security (Disabled - Up to date) {86367591-4BE4-AE08-2FD9-7FCB8259CD98} AS: Kaspersky Internet Security (Disabled - Up to date) {3D579475-6DDE-A186-1569-44B9F9DE8725} FW: Kaspersky Internet Security (Disabled) {BE0DF4B4-018B-AF50-0486-D6FE7C8A8AE3} Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden Toolbar: HKLM - Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} - Нет файла Toolbar: HKLM-x32 - Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} - Нет файла FirewallRules: [{50EB1D16-90D1-4437-949C-CD75B8E5DE01}] => (Allow) LPort=50248 FirewallRules: [{A1A7A404-4236-4E24-AF4D-7146CE8559BB}] => (Allow) C:\PROGRA~2\netis\USBWIR~1\RtWlan.exe => Нет файла FirewallRules: [{C4993502-0B94-4A66-8CC8-01DAAA4ED290}] => (Allow) LPort=1542 FirewallRules: [{62531844-4EA1-4A20-916C-CD3A71222739}] => (Allow) LPort=1542 FirewallRules: [{E6DE5213-1562-4A74-9EAF-D62C244A59A2}] => (Allow) LPort=53 FirewallRules: [{EAA6ECC7-2B00-4495-99E1-9569734E02F0}] => (Allow) LPort=67 FirewallRules: [{39D58CEC-8E75-484B-9590-03E7AD4DC8EC}] => (Allow) LPort=68 FirewallRules: [{16D3025D-C609-45AD-9D2D-3B5E8C351781}] => (Allow) LPort=53 FirewallRules: [{D20165C8-E79E-4619-9713-FF60A275E327}] => (Allow) LPort=53 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
"Менеджер браузеров" уже должен быть виден в перечне установленных программ. Пробуйте удалить.
"Менеджер браузеров" так и не появился. Насколько я помню, я удалил эту программу от Яндекса около года назад, может быть остались только какие-то отдельные файлы.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Через Geek Uninstaller его тоже не видно?
Ещё один небольшой скрипт выполните в безопасном режиме:
- Выделите следующий код:
Код:Start:: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\BBK\AppData\Local\Browserupdphenix DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Администратор\AppData\Local\Browserupdphenix Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Через GEEK удалил остаточные файлы. Скрипт выполнил в безопасном режиме. По ощущениям компьютер перестал тормозить.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Отлично! Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.10.4 (64-bit) v.3.10.4150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.1.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
PushControl, версия 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
FAssistant Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.10.4 (64-bit) v.3.10.4150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.1.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
PushControl, версия 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
FAssistant Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО
Спасибо за помощь!
Похожие темы
- Закрыта
Решена
Лечение, после вируса John
- Закрыта
