Решена Майнер скрывающийся под Realtek

[m4zz3r]

все точно также как в последних темах на форуме , касперский обнаружил , но не помог . прилагаю логи из того что есть

 

[akok]

и совсем не те логи.

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

 

[m4zz3r]

и совсем не те логи.

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

 

[akok]

Правила оформления запроса о помощи - теперь готовим стандартные логи

 

[m4zz3r]

Правила оформления запроса о помощи - теперь готовим стандартные логи

 

[Sandor]

Вы CollectionLog собирали в безопасном режиме. Попробуйте сейчас собрать в нормальном.

 

[m4zz3r]

Вы CollectionLog собирали в безопасном режиме. Попробуйте сейчас собрать в нормальном.

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\esketiit\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteFile('C:\Users\esketiit\AppData\Roaming\Microsoft\Windows\Helper.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[m4zz3r]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\esketiit\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteFile('C:\Users\esketiit\AppData\Roaming\Microsoft\Windows\Helper.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа, так лучше читается тема.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-4170910874-3468222494-1984687319-1001\...\MountPoints2: {9c8b141d-48ca-11ed-9deb-18c04df96341} - "D:\setup.exe" 
  HKU\S-1-5-21-4170910874-3468222494-1984687319-1001\...\MountPoints2: {d5277cb8-adb1-11ed-9e5c-047c16105998} - "E:\setup.exe" 
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [694]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [694]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [694]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [694]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5154]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [694]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5154]
  AlternateDataStreams: C:\Users\esketiit\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\esketiit\Application Data:NT [40]
  AlternateDataStreams: C:\Users\esketiit\Application Data:NT2 [694]
  AlternateDataStreams: C:\Users\esketiit\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\esketiit\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\esketiit\AppData\Roaming:NT2 [694]
  FirewallRules: [{EDE16A1D-C99B-4481-8FF0-3263F0E68364}] => (Allow) LPort=1688
  FirewallRules: [{00C63F8F-01E1-441A-BDAB-4DE167CBD029}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[m4zz3r]

Готово

 

[Sandor]

Хорошо. Проблема решена?

 

[regist]

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[m4zz3r]

Хорошо. Проблема решена?

да , все хорошо, огромное вам спасибо , оперативно все решили !

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[m4zz3r]

этот pidrila опять вернулся , только он стал умней , все что получилось сделать это переименовать касперский (до этого он так запускался) и через безопасный режим через autologger сделать логи , остальное пишет операция отменена из-за ограничений на этом компьютере, обратитесь к системному администратору . Касперский его ослабил и в данный момент делает полную проверку пк, теперь работает браузер и запустилась avz но на этапе открытия браузеров он ее закрыл . логи прикрепляю

 

[Sandor]

опять вернулся

Предположу, что за это время вы попытались установить некий репак, скачанный с торрента, отключив предварительно антивирус. А также тему не довели до конца.

Заново проделайте:
Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[m4zz3r]

да и в правду брат какие то игрушки скачивал, авбр только через безопасный режим получилось запустить, в последствии запустился без него, вот логи

 

[regist]

только он стал умней

брат какие то игрушки скачивал

Жалко, только что вы так ничему и не научились. Так что похоже регулярно будете разную заразу подхватывать, вам ещё повезло, что не шифровальщик.

авбр только через безопасный режим получилось запустить

и даже не утрудились его лог приложить.

 

[m4zz3r]

извинитие я думал он не нужен. вот

а по поводу того что разную заразу подхватывать , больше он ничего не скачивает без меня)