Решена Майнер не даёт установить антивирус

[sanek]

Добрый день, недавно заметил что комп при 2-3х минутном бездействии начинает шуметь и греется, что-то начинает грузит видеокарту. Диспетчер задач через минуту сам закрывается, браузер на при нахождении на форумах тоже закрывается, антивирус не ставится - не запускается экзешник из-за недостатка прав. В диспетчере в автозагрузка нашел realtek hd audio который при отключении сам включается, при попытке открыть место расположения диспетчер закрывается. Помогите разобраться что это!!!

 

[sanek]

Не могу сделать логи, программа для их сбора закрывается на этапе когда предупреждает об открытии браузера, открывает его и сразу закрывается

 

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите по правилам CollectionLog Автологером в обычном режиме загрузки.

 

[sanek]

Всё что получилось в безопасном режиме, затем в обычном режиме та же проблема что и раньше программа для сбора логов закрывается как только откравыет браузер

 

[Sandor]

У вас устаревшая версия AVbr. Нужно скачивать актуальную - залил на облако.

 

[sanek]

Вроде получилось, что дальше?

 

[Sandor]

Хорошо.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
MediaGet

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



3. "Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %ProgramFiles%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\120\Tools\PowerShell\Modules\
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[sanek]

Как-то так

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsinsider
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\Sanek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-4132164929-2465154298-170744616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
  2023-01-16 11:28 - 2023-01-24 11:03 - 000000000 ____D C:\Users\Sanek\AppData\Local\Media Get LLC
  FirewallRules: [{2809A088-A2C2-40F1-A119-483ADCA8ECB9}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{05A77D07-7E44-4A87-9656-F0C9E72CBFFF}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{C9299D66-4779-4F81-A332-A3D6A4666E42}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{884B92C6-C58A-4B04-A32D-CC4D9A9E0090}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{3524EBCD-F4BC-4485-A630-38023800DABA}] => (Allow) LPort=8029
  FirewallRules: [{E2DC8FDE-0EC8-490E-B382-6C02E66DBEF4}] => (Allow) LPort=8029
  FirewallRules: [{ED6947B4-067A-476C-BC4B-5975A16DD52F}] => (Allow) LPort=8029
  FirewallRules: [{BD47CAB0-F422-40E7-93FF-A49B7C9B49AB}] => (Allow) LPort=8029
  FirewallRules: [{AD2094D0-621D-496D-A1D9-BFC906E428E4}] => (Allow) LPort=8029
  FirewallRules: [{839AA499-C559-408B-87BC-C32E3B167640}] => (Allow) LPort=8029
  FirewallRules: [{527CF052-D419-4E0E-9B1C-E2BC230C1C0E}] => (Allow) LPort=8029
  FirewallRules: [{98007B18-0D16-4D32-953F-E518F02E3C4A}] => (Allow) LPort=8029
  FirewallRules: [{0C15FDB8-827B-40FB-AA5D-ED623BF3EFDC}] => (Allow) LPort=8029
  FirewallRules: [{F072BF33-F89B-46CE-B908-FABD23EFF370}] => (Allow) LPort=8029
  FirewallRules: [{55EC891F-C0B6-4EA4-B749-8AF20C4FF0BB}] => (Allow) LPort=8029
  FirewallRules: [{46912D75-19D1-4AB6-B0D6-EE36C5044196}] => (Allow) LPort=8029
  FirewallRules: [{CFAA04F0-B31D-4AB9-A6BA-3D25351082B2}] => (Allow) LPort=8029
  FirewallRules: [{1F09E4CD-B695-4DFA-A0D8-82DCCFA249C3}] => (Allow) LPort=8029
  FirewallRules: [{A4D26181-0C38-4BF7-82B8-D55E2D261436}] => (Allow) LPort=8029
  FirewallRules: [{DF1E2C88-52C4-4A41-9D01-7D61DD084DD1}] => (Allow) LPort=8029
  FirewallRules: [{87BEABCB-F62A-4AC1-9E77-F0B0A60864D7}] => (Allow) LPort=8029
  FirewallRules: [{0CC9485B-ED31-4CC9-BBBB-41F844171588}] => (Allow) LPort=8029
  FirewallRules: [{F196080E-008A-49A9-94B1-D005C3ABD967}] => (Allow) C:\Users\Sanek\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{5318DC7B-9FF7-484B-8604-7C14390CAD58}] => (Allow) C:\Users\Sanek\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{6C80E08A-60C4-40C1-812B-233BB8E2912A}] => (Allow) C:\Users\Sanek\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{AB1A57A5-163C-4C4C-ADBA-3A8DAF692CA6}] => (Allow) LPort=8029
  FirewallRules: [{24619B12-CDA0-4F62-B703-D1D4047E3A9C}] => (Allow) LPort=8029
  FirewallRules: [{7BD17EF1-6639-4818-B33B-0DA22714B6D2}] => (Allow) LPort=8029
  FirewallRules: [{E8E0A01C-C155-4D48-B44F-AF7C88DDC24C}] => (Allow) LPort=8029
  FirewallRules: [{87D33849-3D49-4DFA-8CE4-49C6F2C4FA84}] => (Allow) LPort=8029
  FirewallRules: [{30222296-3B2F-4C71-8801-E443E0269FCF}] => (Allow) LPort=8029
  FirewallRules: [{FD0414DF-E7D4-41D3-A592-B9B7F067A536}] => (Allow) LPort=8029
  FirewallRules: [{8BF8A2C7-4888-4D00-8C72-C6B6B4A67D71}] => (Allow) LPort=8029
  FirewallRules: [{D1A7785D-B286-4227-BA33-5BF021167F96}] => (Allow) LPort=8029
  FirewallRules: [{6EA36044-0236-4F76-90B6-666B681EA76D}] => (Allow) LPort=8029
  FirewallRules: [{B47B2A4F-E2D1-4D65-B867-A540D43EA2AF}] => (Allow) LPort=8029
  FirewallRules: [{F38DD8B6-591E-4D82-A202-FD5ED284FA49}] => (Allow) LPort=8029
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[sanek]

вот

 

[sanek]

Нужно будет ещё что-то делать?

 

[akok]

Проблема решена?

 

[sanek]

Больше никакой активности не наблюдал. Огромное спасибо за помощь в решении моей проблемы. Можете ли посоветовать какой антивирус установить чтобы избежать в последствии подобных проблем?

 

[akok]

Не ставить варез, это основной путь распространения майнера.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки