Решена не помогает даже avbr в безопасном запуске

hsoppp3 · 21 Сен 2024

может я просто тупая и у меня уже шиза, но!!! программа просто перезапускает пк после сканирования (обычно предлагал удалить уч запись или еще какие нибудь файлы), при этом все вирусы и папки остаются на пк, а доступ к сайтам типа "malwarebytes" остается невозможным. MinerSearch никаких вирусов не нашел. но в диспечере висит риалтек, а на пк папка систем32 которую не удалить ничего. в безопасном доступе при запуске avbr даже переименованной и откуда угодно скачанной (иногда даже скачивали прямо с безопасного доступа, перекинув с телефона себе в тг) выдает вот такое

(раньше когда уже сталкивались с этим вирусом никогда такого не выдавало при запуске ренеймнутого авбра, только если вирус блокировал запуск)
в играх как будто скрытый пинг лютый, доходит уже до безумия какого-то, иногда просто пропадает интернет. если в безопасном режиме открыть диспетчер, то на секунду всплывают те самые процессы вируса, но потом исчезают

установить проги, ту же malwarebytes невозможно. пишет что она уже есть более новой версии на пк, но ее нет и никогда не было

Farbar Recovery Scan Tool результаты скана

скан через avz

akok · 21 Сен 2024

hsoppp3 написал(а):
программа просто перезапускает пк после сканирования

так и задумано и перезапуск будет после каждого запуска

установить проги, ту же malwarebytes

Она установлена
Malwarebytes version 5.1.6.117 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 5.1.6.117 - Malwarebytes)

И удалена не штатным способом, как и
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.9.85.5 - Safer-Networking Ltd.)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 10.0.1268 - SUPERAntiSpyware.com)

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-21-184812835-4234356773-4192401428-1001\...\Run: [Bitrix24] => "D:\Bitrix24\Bitrix24.exe" --from-startup (Нет файла)
HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла)
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Почистите остатки Antivirus Removal Tool, если останутся проблемы, то дочистим ручками.

hsoppp3 · 21 Сен 2024

akok написал(а):
так и задумано и перезапуск будет после каждого запуска

Она установлена
Malwarebytes version 5.1.6.117 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 5.1.6.117 - Malwarebytes)

И удалена не штатным способом, как и
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.9.85.5 - Safer-Networking Ltd.)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 10.0.1268 - SUPERAntiSpyware.com)

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла) HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла) HKU\S-1-5-21-184812835-4234356773-4192401428-1001\...\Run: [Bitrix24] => "D:\Bitrix24\Bitrix24.exe" --from-startup (Нет файла) HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\88.0.0.0\GoogleDriveFS.exe --startup_mode (Нет файла) EmptyTemp: Reboot: End::

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Почистите остатки Antivirus Removal Tool, если останутся проблемы, то дочистим ручками.

akok · 21 Сен 2024

Хорошо. А теперь удаляйте остатки MBAM и других утилит, после жду отчет о работоспособности и свежие логи FRST, после будем решать, что делать дальше

в нагрузку еще несколько инструкций

https://www.comss.ru/page.php?id=5387

Uninstall Spybot - Search & Destroy

If Spybot - Search & Destroy is not uninstalling, it may be because files have been removed unintentionally. Download uninstaller files for Spybot here.

www.safer-networking.org

hsoppp3 · 21 Сен 2024

akok написал(а):
Хорошо. А теперь удаляйте остатки MBAM и других утилит, после жду отчет о работоспособности и свежие логи FRST, после будем решать, что делать дальше

в нагрузку еще несколько инструкций

https://www.comss.ru/page.php?id=5387

Uninstall Spybot - Search & Destroy

If Spybot - Search & Destroy is not uninstalling, it may be because files have been removed unintentionally. Download uninstaller files for Spybot here.

www.safer-networking.org

у spybot не загружаются файлы с сайта (

hsoppp3 · 21 Сен 2024

akok написал(а):
Хорошо. А теперь удаляйте остатки MBAM и других утилит, после жду отчет о работоспособности и свежие логи FRST, после будем решать, что делать дальше

в нагрузку еще несколько инструкций

https://www.comss.ru/page.php?id=5387

Uninstall Spybot - Search & Destroy

If Spybot - Search & Destroy is not uninstalling, it may be because files have been removed unintentionally. Download uninstaller files for Spybot here.

www.safer-networking.org

что смогла поудаляла, spybot удаляла вручную, какие нашла файлы, MBAM через программу, но все равно нашла какие то файлы от программы в папке и удалила также вручную

akok · 21 Сен 2024

Хорошо, посмотрю, что осталось

Да, файлы на сервере отсутствуют, будем дочищать ручками

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
BootExecute: autocheck autochk * sdnclean64.exe
HKLM-x32\...\Run: [SDTray] => "E:\Spybot - Search & Destroy 2\SDTray.exe" (Нет файла)
E:\Spybot - Search & Destroy 2\
Task: {AD6AA4C7-9B1F-4AE4-90A2-C4DDAF2FFFFE} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => "E:\Spybot - Search & Destroy 2\SDImmunize.exe"  /immunize /silent /autoclose (Нет файла)
S2 !SASCORE; "C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE" [X]
S3 MBVpnTunnelService; "C:\Program Files\Malwarebytes\Anti-Malware\MBVpnTunnelService.exe" [X]
S2 SDScannerService; "E:\Spybot - Search & Destroy 2\SDFSSvc.exe" [X]
S2 SDUpdateService; "E:\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X]
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers1: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers2: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
ContextMenuHandlers3: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers3: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers4: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers6: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjkhkjq [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkhkjq [0]
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После пробуйте установить Malwarebytes, должно отработать без ошибок.

hsoppp3 · 21 Сен 2024

akok написал(а):

Хорошо, посмотрю, что осталось

Да, файлы на сервере отсутствуют, будем дочищать ручками

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
BootExecute: autocheck autochk * sdnclean64.exe
HKLM-x32\...\Run: [SDTray] => "E:\Spybot - Search & Destroy 2\SDTray.exe" (Нет файла)
E:\Spybot - Search & Destroy 2\
Task: {AD6AA4C7-9B1F-4AE4-90A2-C4DDAF2FFFFE} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => "E:\Spybot - Search & Destroy 2\SDImmunize.exe"  /immunize /silent /autoclose (Нет файла)
S2 !SASCORE; "C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE" [X]
S3 MBVpnTunnelService; "C:\Program Files\Malwarebytes\Anti-Malware\MBVpnTunnelService.exe" [X]
S2 SDScannerService; "E:\Spybot - Search & Destroy 2\SDFSSvc.exe" [X]
S2 SDUpdateService; "E:\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X]
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => D:\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers1: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers2: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
ContextMenuHandlers3: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers3: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => E:\Spybot - Search & Destroy 2\SDECon64.dll -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers4: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers6: [Gridinsoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjkhkjq [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkhkjq [0]
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
StandardProfile\AuthorizedApplications: [E:\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После пробуйте установить Malwarebytes, должно отработать без ошибок.

akok · 21 Сен 2024

Переходим.

akok написал(а):
После пробуйте установить Malwarebytes, должно отработать без ошибок.

hsoppp3 · 21 Сен 2024

akok написал(а):
Переходим.

не вышло, прикрепила скрин к прошлому сообщению

akok · 21 Сен 2024

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

hsoppp3 · 21 Сен 2024

akok написал(а):
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

hsoppp3 · 21 Сен 2024

akok написал(а):
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

лог нужно скинуть в 7z формате верно?

akok · 21 Сен 2024

Верно, но посмотреть смогу уже завтра. С телефона уже.

hsoppp3 · 22 Сен 2024

akok написал(а):
Верно, но посмотреть смогу уже завтра. С телефона уже.

кстати до этого не замечала, но он так же в автозапуске виден...либо вчера стал виден, либо я как то его пропустила до этого

akok · 22 Сен 2024

RtkAu.... ? Это легитимный файл, есть следы в системе, но майнера активного нет уже

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
BREG
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delall %SystemDrive%\USERS\2A26~1\APPDATA\LOCAL\TEMP\DCONTROL.EXE
delref HTTPS://F.A.K/E
delref %SystemDrive%\PROGRAMDATA
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
deltsk E:\SPYBOT - SEARCH & DESTROY 2\SDUPDATE.EXE
deltsk E:\SPYBOT - SEARCH &AMP; DESTROY 2\SDUPDATE.EXE
deldirex E:\SPYBOT - SEARCH & DESTROY 2
;---------command-block---------
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref E:\SPYBOT - SEARCH &AMP; DESTROY 2\SDUPDATE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref E:\SPYBOT - SEARCH & DESTROY 2\SDECON32.DLL
delref D:\BITRIX24\32\BITRIXSHELLEXT.DLL
delref D:\BITRIX24\64\BITRIXSHELLEXT.DLL
delref {CA8ACAFA-5FBB-467B-B348-90DD488DE003}\[CLSID]
delref %SystemDrive%\USERS\МОНЯ\DESKTOP\KMSAUTO++ PORTABLE V1.8.5\GSETUP.EXE
delref %SystemDrive%\USERS\МОНЯ\DESKTOP\KMSAUTO++ PORTABLE V1.8.5\KMSAUTO_FILES
delref %Sys32%\SECOPATCHER.DLL
delref %SystemDrive%\PROGRAM FILES\VEGAS\VEGAS PRO 21.0\
delref E:\SPYBOT - SEARCH & DESTROY 2\SDUPDATE.EXE
delref {F77F27A6-89F3-471A-AFA8-3B280940A10C}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref IRENUM\[SERVICE]
delref D:\BITRIX24\BITRIX24.EXE
delref %SystemDrive%\PROGRAM FILES\VOICE.AI\VOICEAI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\POKERSTARS.RUSO\POKERSTARSUPDATE.EXE
delref E:\SPYBOT - SEARCH & DESTROY 2\SDSCAN.EXE
apply

restart
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

hsoppp3 · 22 Сен 2024

akok написал(а):

RtkAu.... ? Это легитимный файл, есть следы в системе, но майнера активного нет уже

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
BREG
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delall %SystemDrive%\USERS\2A26~1\APPDATA\LOCAL\TEMP\DCONTROL.EXE
delref HTTPS://F.A.K/E
delref %SystemDrive%\PROGRAMDATA
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
deltsk E:\SPYBOT - SEARCH & DESTROY 2\SDUPDATE.EXE
deltsk E:\SPYBOT - SEARCH &AMP; DESTROY 2\SDUPDATE.EXE
deldirex E:\SPYBOT - SEARCH & DESTROY 2
;---------command-block---------
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref E:\SPYBOT - SEARCH &AMP; DESTROY 2\SDUPDATE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref E:\SPYBOT - SEARCH & DESTROY 2\SDECON32.DLL
delref D:\BITRIX24\32\BITRIXSHELLEXT.DLL
delref D:\BITRIX24\64\BITRIXSHELLEXT.DLL
delref {CA8ACAFA-5FBB-467B-B348-90DD488DE003}\[CLSID]
delref %SystemDrive%\USERS\МОНЯ\DESKTOP\KMSAUTO++ PORTABLE V1.8.5\GSETUP.EXE
delref %SystemDrive%\USERS\МОНЯ\DESKTOP\KMSAUTO++ PORTABLE V1.8.5\KMSAUTO_FILES
delref %Sys32%\SECOPATCHER.DLL
delref %SystemDrive%\PROGRAM FILES\VEGAS\VEGAS PRO 21.0\
delref E:\SPYBOT - SEARCH & DESTROY 2\SDUPDATE.EXE
delref {F77F27A6-89F3-471A-AFA8-3B280940A10C}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVHDCI.INF_AMD64_9F205E7D8EFA92C6\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref IRENUM\[SERVICE]
delref D:\BITRIX24\BITRIX24.EXE
delref %SystemDrive%\PROGRAM FILES\VOICE.AI\VOICEAI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\POKERSTARS.RUSO\POKERSTARSUPDATE.EXE
delref E:\SPYBOT - SEARCH & DESTROY 2\SDSCAN.EXE
apply

restart
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

сделала

akok · 22 Сен 2024

Теперь давайте пробовать устанавливать MBAM

hsoppp3 · 22 Сен 2024

akok написал(а):
Теперь давайте пробовать устанавливать MBAM

победа, установился. сделала проверку

akok · 22 Сен 2024

То, что нашло можно спокойно удалить. И если, все победили, то финальные штрихи

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Папку с автологером и UVS можно удалит, уже не понадобятся... часто обновляются, и быстро устаревают

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Решена не помогает даже avbr в безопасном запуске

Новый пользователь

Вложения

Новый пользователь

Вложения

Новый пользователь

Новый пользователь

Вложения

Новый пользователь

Вложения

Новый пользователь

Новый пользователь

Новый пользователь

Вложения

Новый пользователь

Новый пользователь

Новый пользователь

Вложения

Похожие темы