HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Malwarebytes обнаружил 5 вредоносных программ и обозначил их как троян-майнер. После помещения в карантин или удаления, вирус снова обнаруживается антивирусом.
Решена Malwarebytes обнаружило вирус троян/майнер, который при помещения его в карантин, заново появляется в системе
- Автор темы HectorRisus
- Дата начала
-
- Теги
- malwarebytes вирус
- Статус
- Сообщения
- 16,367
- Реакции
- 3,440
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Версия Автологера у вас устаревшая. Удалите его вместе с созданной им папкой.
Скачайте актуальную.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files\Google\Chrome\updater.exe', '');
DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
Версия Автологера у вас устаревшая. Удалите его вместе с созданной им папкой.
Скачайте актуальную.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Обновил АвтоЛогер, скидываю лог после AutoLogger и после AVZ скрипта
- Сообщения
- 16,367
- Реакции
- 3,440
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Готово
- Сообщения
- 24,989
- Реакции
- 13,675
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ Task: {49948F36-21C5-4988-B5B9-DE9437955C98} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Нет файла) Task: {F408C8C9-24B9-4340-91F1-FBEF30F8C859} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла) Task: {0516627E-A0CC-46C1-94F0-CD629E6BF1C0} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5635360 2023-11-04] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ C:\Program Files\Google\Chrome\updater.exe EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Сделал
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Готово
- Сообщения
- 3,862
- Реакции
- 2,423
даже два пользователя с правами администратора - это много.
Выполните написанное ниже в безопасном режиме загрузки.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
Task: {921DF08E-FE2A-4063-9B88-4C7AD82C6378} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5635360 2023-11-05] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Google\Chrome\updater.exe
C:\Users\gidwo\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\kbbidhfplpegemhlbcfboalcjdmgebap
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-784097150-1154850460-3400027991-1001\...\{bb4d60e3-c2ff-4e16-b2b8-e49d169f6143}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
HKU\S-1-5-21-784097150-1154850460-3400027991-1001\...\StartupApproved\Run: => "toc"
FirewallRules: [UDP Query User{0CCCAF11-C478-4EB6-946E-C57E97EDA501}E:\minecraft\jre\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe] => (Allow) E:\minecraft\jre\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{0F24D4ED-A5EA-4878-8422-D1C994FE02EA}E:\steam\steamapps\common\drake hollow\drakehollow\binaries\win64\drakehollow-win64-shipping.exe] => (Allow) E:\steam\steamapps\common\drake hollow\drakehollow\binaries\win64\drakehollow-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{055787AE-FBA3-48A9-8938-76ED36F26ECD}E:\obs-studio\obs-plugins\64bit\obs-browser-page.exe] => (Allow) E:\obs-studio\obs-plugins\64bit\obs-browser-page.exe => Нет файла
FirewallRules: [UDP Query User{02B34569-5BF8-4716-B382-6A590FC2589D}E:\obs-studio\obs-plugins\64bit\obs-browser-page.exe] => (Allow) E:\obs-studio\obs-plugins\64bit\obs-browser-page.exe => Нет файла
FirewallRules: [TCP Query User{EB58C66E-3C3A-4451-B383-7A2B07BE94AE}D:\steamlibrary\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) D:\steamlibrary\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{38792F44-D6E6-4A84-B6EE-36C3B0F28F1F}D:\steamlibrary\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) D:\steamlibrary\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{91937A8D-F7D3-485B-9815-9CA3B6DE8408}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.102.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F9E89EE3-E73A-4310-AC5D-2D1FE49F05D1}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.102.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{93136F3C-B9D3-4231-9F66-FCA341CF2FA0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.102.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{DE7D173A-5E10-4BD9-9AE5-197B58C7A5D9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.102.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{6C16D519-AEF2-436A-BBCE-17C46A69B231}D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe] => (Allow) D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [UDP Query User{B83D1406-F022-4566-93BA-977F92FFB1AB}D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe] => (Allow) D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [{8ECF3B29-EAEB-48FA-8028-A05C582F20E7}] => (Block) D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [{DCBB530E-FFC5-43DA-BAA6-48E5AF475D09}] => (Block) D:\adobe\symmover\e\rem\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [TCP Query User{62CAC935-8325-484E-8FC6-EE08A59F42F3}C:\program files\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe] => (Allow) C:\program files\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [UDP Query User{9DE68EB3-3D1D-4C67-AA0B-3E21B4AAA2FF}C:\program files\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe] => (Allow) C:\program files\adobe\adobe premiere pro 2023\cephtmlengine\cephtmlengine.exe => Нет файла
FirewallRules: [TCP Query User{F5669C0C-C7D4-4B97-B8DA-ACC1A6B68FD3}C:\program files\adobe\adobe media encoder 2023\adobe media encoder.exe] => (Allow) C:\program files\adobe\adobe media encoder 2023\adobe media encoder.exe => Нет файла
FirewallRules: [UDP Query User{C46C3A16-FA54-4C6C-B7E8-2EEB05B83BA2}C:\program files\adobe\adobe media encoder 2023\adobe media encoder.exe] => (Allow) C:\program files\adobe\adobe media encoder 2023\adobe media encoder.exe => Нет файла
FirewallRules: [{BD3429EF-E509-4756-B4B4-1436892FBBA9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{88153F3B-7E3A-4277-8F71-CD20E094FD87}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9825DCEE-C18F-4C29-BD3F-3B6EE38485ED}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{E4F735BE-EF04-46E5-A8F3-5B0272E5BF9E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{1E5525D3-19BF-45B8-825D-B3ECBE1576DE}D:\steamlibrary\steamapps\common\dawn\dawn\binaries\win64\dawn-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\dawn\dawn\binaries\win64\dawn-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{C06BE850-15CB-492E-8F4E-4F39DA1DC7C6}D:\steamlibrary\steamapps\common\dawn\dawn\binaries\win64\dawn-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\dawn\dawn\binaries\win64\dawn-win64-shipping.exe => Нет файла
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Готово
- Сообщения
- 3,862
- Реакции
- 2,423
удалите через Установку программ или принудительно с помощью Geek Uninstaller
Удалите старые и соберите новые логи FRST.txt и Addition.txt
Последнее редактирование:
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
AdBlock Shield 1.0.0.0 - удален
Gel Kit 2.4.10.5 - не удалось найти на ПК, Geek Unistaller тоже не нашел приложение
Gel Kit 2.4.10.5 - не удалось найти на ПК, Geek Unistaller тоже не нашел приложение
- Сообщения
- 3,862
- Реакции
- 2,423
его у Вас и не было, случайно из шаблона вставил.
Скачайте файл по ссылке, разархивируйте. Выполните двойной клик по каждому из файлов, подтверждая внесение информации в реестр.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
CreateRestorePoint:
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-10-13] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1536000 2023-10-13] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2023-10-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2023-10-13] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3447296 2023-10-13] (Microsoft Windows -> Microsoft Corporation)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Сделано
HectorRisus
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Вирусов не обнаружено, благодарю!
- Сообщения
- 16,367
- Реакции
- 3,440
В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Статус