Решена Майнер и пользователь john

[SmoGeen]

Выключается редактор реестра и политик, не могу редактировать hosts, большинство сайтов связаных с анивирусами автоматически выключаются (AV block, adwcleaner и т.д.), при запуске появляется cmd, по глупости попробовал сам удалить пользователя но проблема не решилась

AutoLogger запускал с безопасного режима с поддержкой сетевых драйверов

 

[Arkalik]

@SmoGeen, Здравствуйте!

1. Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

2. После перезагрузки системы соберите новый CollectionLog Автологером.

 

[SmoGeen]

@SmoGeen, Здравствуйте!

1. Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

2. После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Arkalik]

@SmoGeen, Полностью не цитируйте мое сообщение!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Gvj0zW\CreedMobeM.bat','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Gvj0zW\Game.exe','');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe','');
 QuarantineFileF('C:\ProgramData\Microsoft\DRM\Gvj0zW', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);

 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','64');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll','32');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Gvj0zW\CreedMobeM.bat','64');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Gvj0zW\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');

 DeleteFileMask('C:\ProgramData\windowstask', '*', true);
 DeleteFileMask('C:\ProgramData\ReaItekHD', '*', true);
 DeleteFileMask('C:\ProgramData\Windows Tasks Service', '*', true);
 DeleteFileMask('C:\ProgramData\Microsoft\DRM\Gvj0zW', '*', true);
 
 DeleteDirectory('C:\ProgramData\windowstask');
 DeleteDirectory('C:\ProgramData\ReaItekHD');
 DeleteDirectory('C:\ProgramData\Windows Tasks Service');
 DeleteDirectory('C:\ProgramData\Microsoft\DRM\Gvj0zW');
 
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeM\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeM\Gvj0zW');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeM\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. После перезагрузки системы соберите новый CollectionLog Автологером.

 

[SmoGeen]

@Arkalik отправил архив на почту

 

[Arkalik]

1. "Пофиксите" в HijackThis только эти строки:

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

2. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

[SmoGeen]

@Arkalik

 

[Arkalik]

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10.6.0.141

2) Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  John (S-1-5-21-2624490812-2620728906-3099686629-1003 - Administrator - Enabled)
  FirewallRules: [TCP Query User{6ACCB591-198C-4211-B99A-53799CCDDE31}D:\raft\raft.exe] => (Block) D:\raft\raft.exe => Нет файла
  FirewallRules: [UDP Query User{8243581D-76FF-4CD0-A52A-5184D44CD8F8}D:\raft\raft.exe] => (Block) D:\raft\raft.exe => Нет файла
  FirewallRules: [{5B32CECA-D5A9-46EA-A5CC-D54559B1BFC1}] => (Allow) D:\Games\BlueStacks X\BlueStacksWeb.exe => Нет файла
  FirewallRules: [{34D6C8C4-A7F7-4463-A510-D2A100B00563}] => (Allow) D:\Games\BlueStacks X\Cloud Game.exe => Нет файла
  FirewallRules: [{B725E7DE-9668-4EA6-8B0E-E327480A4E82}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
  FirewallRules: [{CE4F088C-8C0F-4E9C-B0B0-F3597E9D59F7}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
  FirewallRules: [{0DC2C653-1F7E-4437-A037-8141B50AC600}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{DF807D3F-402E-4BCF-8CDE-20A0639AB5CF}] => (Allow) LPort=3389
  S3 TermService; C:\Windows\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Users\Anast\Downloads\AV_block_remover
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Users\Anast\Downloads\AutoLogger
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Norton
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\grizzly
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Doctor Web
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\AVAST Software
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\360safe
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\SpyHunter
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Malwarebytes
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\HitmanPro
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\DrWeb
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\COMODO
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Common Files\AV
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\Bitdefender Agent
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\AVG
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files\AVAST Software
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\Cezurity
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\AVG
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\Program Files (x86)\360
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\KVRT2020_Data
  2023-08-24 15:13 - 2023-08-24 15:13 - 000000000 __SHD C:\KVRT_Data
  2023-08-24 15:12 - 2023-08-25 02:17 - 000000000 ___HD C:\Program Files\RDP Wrapper
  2023-08-24 15:12 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Setup
  2023-08-24 15:12 - 2023-08-24 15:13 - 000000000 __SHD C:\ProgramData\Install
  2023-08-24 15:12 - 2023-08-24 15:12 - 000000000 ____D C:\Users\Anast\AppData\Roaming\RMS_settings
  2023-08-24 15:13 C:\Program Files\AVAST Software
  2023-08-24 15:13 C:\Program Files\AVG
  2023-08-24 15:13 C:\Program Files\Bitdefender Agent
  2023-08-24 15:13 C:\Program Files\COMODO
  2023-08-24 15:13 C:\Program Files\DrWeb
  2023-08-24 15:13 C:\Program Files\Enigma Software Group
  2023-08-24 15:13 C:\Program Files\HitmanPro
  2023-08-24 15:13 C:\Program Files\Kaspersky Lab
  2023-08-24 15:13 C:\Program Files\Malwarebytes
  2023-08-15 15:16 C:\Program Files\NETGATE
  2023-08-24 15:13 C:\Program Files\SpyHunter
  2023-08-24 15:13 C:\Program Files (x86)\360
  2023-08-24 15:13 C:\Program Files (x86)\AVAST Software
  2023-08-24 15:13 C:\Program Files (x86)\AVG
  2023-08-15 15:16 C:\Program Files (x86)\GPU Temp
  2023-08-24 15:13 C:\Program Files (x86)\Kaspersky Lab
  2023-08-24 15:13 C:\Program Files (x86)\SpyHunter
  2023-08-24 15:13 C:\Program Files\Common Files\AV
  2023-08-24 15:13 C:\Program Files\Common Files\Doctor Web
  2023-08-24 15:13 C:\ProgramData\360safe
  2023-08-24 15:13 C:\ProgramData\AVAST Software
  2023-08-24 15:13 C:\ProgramData\Doctor Web
  2023-08-24 15:13 C:\ProgramData\grizzly
  2023-08-24 15:13 C:\ProgramData\Kaspersky Lab
  2023-08-24 15:13 C:\ProgramData\Kaspersky Lab Setup Files
  2023-08-24 15:13 C:\ProgramData\Norton
  2023-08-15 15:16 C:\ProgramData\princeton-produce
  2023-08-24 15:13 C:\Users\Anast\Downloads\AutoLogger
  2023-08-24 15:13 C:\Users\Anast\Downloads\AV_block_remover
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[SmoGeen]

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Driver Booster 10.6.0.141

При удалении выдает "ошибка 5: отказано в доступе" в безопасном режиме также не действует, от имени администратора соответственно

 

[Arkalik]

@SmoGeen, Выполните скрипт FRST указанный в этом сообщений:

В работе - Майнер и пользователь john

Выключается редактор реестра и политик, не могу редактировать hosts, большинство сайтов связаных с анивирусами автоматически выключаются (AV block, adwcleaner и т.д.), при запуске появляется cmd, по глупости попробовал сам удалить пользователя но проблема не решилась AutoLogger запускал с...

www.safezone.cc

2. Так же выполните такой скрипт в FRST

Start::
Unlock: C:\Program Files (x86)\IObit
Reboot:
End::

После перезагрузки попробуйте удалить программу

Driver Booster 10.6.0.141

 

[SmoGeen]

@Arkalik, Driver Booster удалось удалить

 

[Arkalik]

@SmoGeen,
Ещё один скрипт FRST выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anast\AppData\Local\Temp\dControl.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[SmoGeen]

@Arkalik

 

[Arkalik]

Проблема решена?

 

[SmoGeen]

@Arkalik, Да, спасибо большое!

 

[Arkalik]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Sandor]

@SmoGeen, проделайте финальные шаги, пожалуйста.