Решена Не могу запустить утилиту AV block remover

[Alex 1000]

Поймал этот вирус, почитал как надо удалять его но столкнулся с проблемой,при скачивании утилиты AV block remover не смог с первого раза открыть формат md5 (открывал блокнотом)выбор запомнился и теперь этот формат открывается по умолчанию в формате блокнота!Не могу запустить утилиту,что делать, объясните максимально доходчиво и желательно подробно, очень подробно , заранее благодарен!

 

[Sandor]

Здравствуйте!

не смог с первого раза открыть формат md5

Этот вам не нужен. Такой файл только даёт вам уверенность, что вы скачали именно то, что нужно, а не подделку. Скачайте через эту кнопку:

архив с именем AVbr.zip

Распакуйте, запустите и следуйте инструкциям. Если не запускается:

• переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
• как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите этот отчёт к первому сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела.

 

[Sandor]

@Alex 1000, как дела, есть затруднения? Не стесняйтесь и спрашивайте.

 

[Alex 1000]

В общем после 6 часов борьбы всё таки удалось запустить утилиту, она что то там просканировала и удалила, смог запустить даже нод 32 после этого на проверку, но остаётся после него что то, в диспетчере висят процессы которые раньше не появлялись!

 

[Sandor]

Будьте внимательны, ждем следующий шаг:

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела.

 

[Alex 1000]

Ну вот что получилось, если что поправьте как надо было сделать

 

[Sandor]

Да, вы всё сделали правильно, продолжаем.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

postcards-proved
toc

Если не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

Далее:
"Пофиксите" в HijackThis только следующее (некоторых строк может не быть):

O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: postcards-proved - C:\ProgramData\prev-plug\bin.exe /H (file missing)

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Alex 1000]

Вот что получилось

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {CB5ABF15-0EBF-4965-BD88-8C7979BC6CB2} - System32\Tasks\jUiMgsozzmdwn2 => C:\Windows\system32\wscript.exe "C:\ProgramData\THmvOEiysDkAPHVB\AItuPje.wsf" <==== ВНИМАНИЕ
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/" 
  CHR DefaultSearchKeyword: Default -> cdn
  CHR HKU\S-1-5-21-2969734098-1235208641-2433677820-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  2022-11-03 01:02 - 2022-11-03 12:01 - 000000000 ____D C:\Program Files (x86)\yFQMgWAUU
  2022-11-03 01:02 - 2022-11-03 12:01 - 000000000 ____D C:\Program Files (x86)\wvBQKZVFsBxeC
  2022-11-03 01:02 - 2022-11-03 12:01 - 000000000 ____D C:\Program Files (x86)\rEEXAbtmwxAU2
  2022-11-03 01:02 - 2022-11-03 12:00 - 000000000 ____D C:\Program Files (x86)\NsWVWqgeElUn
  2022-11-03 01:02 - 2022-11-03 11:55 - 000000000 ____D C:\Program Files (x86)\COujnvuJpRJtvDsgcDR
  2022-11-03 01:02 - 2022-11-03 01:02 - 000003044 _____ C:\Windows\system32\Tasks\jUiMgsozzmdwn2
  FirewallRules: [{8EA1199A-E8D8-40DD-80CA-EF850B193113}] => (Allow) 㩃啜敳獲䅜敬屸灁䑰瑡屡潒浡湩屧潴屣坧灣⹟硥e => Нет файла
  FirewallRules: [{368F4CD7-248E-4FC8-B3B8-1F34AA76505B}] => (Allow) 㩃啜敳獲䅜敬屸灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{35E4EA48-DDE5-4A61-881E-B51FDA08AEA7}] => (Allow) 㩃啜敳獲䅜敬屸灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{18B7E57F-08B8-4BE4-A94A-E244BC99C67B}] => (Allow) 㩃啜敳獲䅜敬屸灁䑰瑡屡潒浡湩屧潴屣獡愰攮數 => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Alex 1000]

Вот что вышло, подозрительные файлы пропали из диспетчера

 

[Sandor]

Отлично! Будем завершать:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Alex 1000]

Вот отчёт сделало

 

[Sandor]

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.21.011.20039 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.100.0.4896.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.103.0.1264.49 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2156 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Web Companion v.7.0.2417.4248 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Блицкриг ver.1.2 RePack by 007 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.


Исправьте по возможности перечисленное.
Читайте и соблюдайте Рекомендации после удаления вредоносного ПО

 

[Alex 1000]

Ну по идее всё вернулось на свои места, благодарю за оказанную помощь!