Автологгер в обычном режиме тут же закрывается (как и сайты с антивирусами). Запустил в безопасном режиме с поддержкой сетевых драйверов, до этого пытался самолечением заняться по советам людей - av block remover/ cureit... ничего не вышло. Помогите, пожалуйста!
Решена Майнер, пользователь John, системные папки в исключениях Windows Defender'а
- Статус
- Сообщения
- 3,885
- Реакции
- 2,432
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Выполните скрипт в AVZ
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Код:
begin
QuarantineFile('C:\ProgramData\Microsoft\DRM\Mr8a4z8ElGa\SysFilesX.bat','');
QuarantineFile('C:\ProgramData\Microsoft\DRM\edsy4YfZ\GlobalDataI.bat','');
DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
DeleteFile('C:\ProgramData\Microsoft\DRM\edsy4YfZ\GlobalDataI.bat','64');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
DeleteFile('C:\ProgramData\Microsoft\DRM\Mr8a4z8ElGa\SysFilesX.bat','64');
DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
DeleteSchedulerTask('Microsoft\Windows\SysFilesX\RecoveryTask');
DeleteSchedulerTask('Microsoft\Windows\SysFilesX\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\SysFilesX\Mr8a4z8ElGa');
DeleteSchedulerTask('Microsoft\Windows\GlobalDataI\RecoveryTask');
DeleteSchedulerTask('Microsoft\Windows\GlobalDataI\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\GlobalDataI\edsy4YfZ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
ExecuteSysClean;
RebootWindows(false);
end.- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Последнее редактирование:
Правильно понимаю, что скрипт запускать можно из безопасного режима? Или нужно в обычный вернуться?
Не получается. BSOD с кодом ошибки KERNEL_SECURITY_CHECK FAILURE и перезагрузка.
- Сообщения
- 3,885
- Реакции
- 2,432
настройки никакие не меняете перед запуском скрипта?
Чуть изменил скрипт, попробуйте выполнить сейчас
Не, все как написано делал... Сейчас попробую новый вариант.
Со вторым скриптом (и всем остальным) получилось, но после перезагрузки в обычный режим интернет на ноутбуке был отключен (не мной, не знаю, важно это или нет с учетом последующих шагов, но я решил не подключаться обратно)
Карантин через форму отправил, вот отчет av blocker и лог автологгера.
Карантин через форму отправил, вот отчет av blocker и лог автологгера.
- Сообщения
- 3,885
- Реакции
- 2,432
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-3160808197-1537057993-820800032-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-3160808197-1537057993-820800032-1001\...\Run: [movavi_srecorder_22.0.0_screenrecorder] => [X]
2023-08-28 05:27 - 2023-08-28 05:27 - 000000000 __SHD C:\Users\Artem\AppData\Roaming\Sysfiles
2023-08-28 05:26 - 2023-08-28 05:26 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-08-28 05:23 - 2023-08-28 05:23 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\Users\Artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{FC590A27-D48C-4FD7-BAD4-1FA61BD9815D}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла
FirewallRules: [UDP Query User{A65027C0-E5B8-4980-B85F-46BA5436948A}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла
FirewallRules: [TCP Query User{7DC5B514-CF9D-4CDD-9F99-0B8C367BC8E1}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{C9C613C7-3A3A-4015-BF18-A1863A83D6F1}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{1423F4CB-90D0-4999-8EDE-3301A6F411C9}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{D5C89C3C-1CD8-44D8-A3CD-1E25BCBEFF44}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{4680ED25-EDF4-44BA-B7FD-B40DD4EEE1FB}C:\users\artem\downloads\escapedungeon2\escapedungeon2.exe] => (Allow) C:\users\artem\downloads\escapedungeon2\escapedungeon2.exe => Нет файла
FirewallRules: [UDP Query User{462B9E63-84B1-45AF-AFEA-C7323161A99F}C:\users\artem\downloads\escapedungeon2\escapedungeon2.exe] => (Allow) C:\users\artem\downloads\escapedungeon2\escapedungeon2.exe => Нет файла
FirewallRules: [TCP Query User{F0523E6B-0473-4D6F-87D7-EBAA39986B54}C:\users\artem\downloads\escape dungeon\escapedungeon.exe] => (Allow) C:\users\artem\downloads\escape dungeon\escapedungeon.exe => Нет файла
FirewallRules: [UDP Query User{07A574DD-D0B5-4A50-A3E7-AEB1654988C0}C:\users\artem\downloads\escape dungeon\escapedungeon.exe] => (Allow) C:\users\artem\downloads\escape dungeon\escapedungeon.exe => Нет файла
FirewallRules: [TCP Query User{CF0FDE64-302E-4CEC-9ABD-81F349866B68}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла
FirewallRules: [UDP Query User{90B69B15-3ED7-475D-AB30-9B06191936C0}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла
FirewallRules: [{E2D7EFF0-ADCB-4633-810A-9D78821DCF8A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\5K\WindowsNoEditor\Pandemic.exe => Нет файла
FirewallRules: [{B04C5543-120D-43EB-A5A1-EC2FB3D48ECA}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\5K\WindowsNoEditor\Pandemic.exe => Нет файла
FirewallRules: [TCP Query User{60A72F22-9F64-431F-A471-9A71C0BFD42B}C:\program files (x86)\steam\steamapps\common\project quarantine demo\test_c\binaries\win64\test_c.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\project quarantine demo\test_c\binaries\win64\test_c.exe => Нет файла
FirewallRules: [UDP Query User{8BE210DB-BF63-47A5-B949-93013534DE42}C:\program files (x86)\steam\steamapps\common\project quarantine demo\test_c\binaries\win64\test_c.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\project quarantine demo\test_c\binaries\win64\test_c.exe => Нет файла
FirewallRules: [TCP Query User{1AEE6ADB-9414-4150-99B9-2AF3ADD7A828}C:\users\artem\desktop\half sword\halfswordue5\binaries\win64\halfswordue5.exe] => (Allow) C:\users\artem\desktop\half sword\halfswordue5\binaries\win64\halfswordue5.exe => Нет файла
FirewallRules: [UDP Query User{D062EDEE-E47A-4D19-AF1F-F7EAD1E708F8}C:\users\artem\desktop\half sword\halfswordue5\binaries\win64\halfswordue5.exe] => (Allow) C:\users\artem\desktop\half sword\halfswordue5\binaries\win64\halfswordue5.exe => Нет файла
FirewallRules: [TCP Query User{A6440460-3A41-4EDB-8CB4-E20CD40E7EE0}C:\users\artem\downloads\scarlet.maiden.v1.3.0\scarletmaiden.exe] => (Block) C:\users\artem\downloads\scarlet.maiden.v1.3.0\scarletmaiden.exe => Нет файла
FirewallRules: [UDP Query User{92149A9A-D258-4BC3-8900-4ACDFA8F96C3}C:\users\artem\downloads\scarlet.maiden.v1.3.0\scarletmaiden.exe] => (Block) C:\users\artem\downloads\scarlet.maiden.v1.3.0\scarletmaiden.exe => Нет файла
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Только скопировать?
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Сообщения
- 3,885
- Реакции
- 2,432
Ещё один скрипт выполните в безопасном режиме.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Статус
Похожие темы
- Закрыта
- Закрыта