Решена Майнер? AV_block_remover

[Callme13139993]

Здравствуйте. Подхватил какой-то вирус, который жрёт ЦП, не даёт зайти ни на один сайт с антивирусами, всё тормозит. В безопасном режиме умудрился вроде как через утилиты поудалять всё, но после перезагрузки всё возвращается на свои места. Файл hosts тоже не даёт редактировать, просто закрывает, и всё...первыцйраз с таким сталкиваюсь, прошу помощи. Лог прикрепить не могу, поскольку вирус блокирует работу и автологгера.

 

[Callme13139993]

Удалось запустить утилиту в безопасном режиме, прикладываю лог.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима.

 

[Callme13139993]

При запуске утилиты выходит ошибка скрипта: Incompatible types, позиция [274:11]. Если дальше запускаю её через кнопку "пуск", лог не появляется. И ещё в режиме безопасности с поддержкой сети майнер, видимо, блокирует выход в интернет. Я всё через телефон на компьютер загружаю. Возможно, файл delminer что-то скажет...

 

[Sandor]

В безопасном режиме не нужно "выходить в интернет", нужно только запустить файл AVbr.exe
Скачайте его заново, были некоторые изменения.
+
Если запускаете его с Рабочего стола или из папки Загрузки, переместите в другую папку.

 

[Callme13139993]

Вот лог avbr, автологгер в обычном режиме просто закрывается, и всё, даже после одного прохода avbr.

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Callme13139993]

Опять-таки смог запустить утилиту лишь в безопасном режиме. Вот отчёты.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {196412B1-10D2-4F3F-BAEC-E586A586B51B} - System32\Tasks\Microsoft\Windows\DataBaseV\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [31474704 2023-05-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhostw.exe
  Task: {23C6B6D0-61E8-45CE-B1AA-FD59C05C92D7} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataBase => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
  Task: {6ACE5BC1-3E97-42D2-92CA-E7D61AE8DFE3} - System32\Tasks\Microsoft\Windows\DataBaseV\RecoveryHosts => C:\Programdata\Microsoft\mrfjn\script.bat [2797 2023-05-16] () [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\Microsoft\mrfjn\script.bat
  Task: {A6582A73-CB65-45BF-941A-300ED9E8CC7D} - System32\Tasks\Microsoft\Windows\DataBaseV\mrfjn => C:\Programdata\ReaItekHD\taskhost.exe [23484944 2023-05-14] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhost.exe
  2023-05-18 15:14 - 2023-05-18 15:15 - 000000000 __SHD C:\ProgramData\WindowsTask
  2023-05-18 15:14 - 2023-05-18 15:15 - 000000000 __SHD C:\ProgramData\Setup
  2023-05-18 15:14 - 2023-05-18 15:14 - 000000258 __RSH C:\ProgramData\ntuser.pol
  2023-05-18 15:14 - 2023-05-18 15:14 - 000000000 __SHD C:\ProgramData\ReaItekHD
  2023-05-16 10:51 - 2023-05-16 10:51 - 000000000 __SHD C:\Users\Эльдорадо\Downloads\AV_block_remover
  2023-05-16 10:51 - 2023-05-16 10:51 - 000000000 __SHD C:\Users\Эльдорадо\Desktop\AV_block_remover
  2023-05-16 10:51 - 2023-05-16 10:51 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-16 10:51 - 2023-05-16 10:51 - 000000000 __SHD C:\Program Files\RogueKiller
  FirewallRules: [{3CCC3227-B938-4770-904A-C82FA784D948}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
  FirewallRules: [{B19E2734-5AC5-4A33-AF44-D97356B39A33}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
  FirewallRules: [{3573D2FC-6B81-469B-B497-C62347266E84}] => (Allow) C:\Program Files (x86)\RetailRotor\bin\rerotord.exe => Нет файла
  FirewallRules: [{0355ED8F-86EE-4372-BB57-CC18A5E731D8}] => (Allow) iexplore.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Callme13139993]

Так как напрямую не могу скопировать скрипт, сделал это в блокнот, назвал "fixlist", скрипт вроде сработал, опять в безопасном режиме. Вот лог.

 

[akok]

Что с проблемой?

 

[Callme13139993]

Что с проблемой?

Только что проверил, всё хорошо. Спасибо за помощь)я так понимаю, все утилиты, логи и прочее хранить не надо?

 

[akok]

Да, сейчас выдам финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[Callme13139993]

Вот последний лог.

 

[akok]

Исправьте по возможности и удачи
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.3.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.0.61118.0 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.7.3.46 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Codec Pack 15.8.5 Standard v.15.8.5 Внимание! Скачать обновления