Решена Неизвестный мне вирус, возможно майнер

[escapp]

Здравствуйте, решил установить крякнутый фотошоп, но словил заразу.
Симптомы:
1) При вводе в браузер "удалить майнер" вырубается браузер
2) Загружена система неизвестно чем
3) При попытке запустить Avbr вылетает ошибка (ошибка приложена в скрине), тоже самое выдает и в безопасном режиме.
4) Диспетчер задач спустя некоторое время отключается без моей помощи.
К сожалению пока больше симптомов не заметил, но надеюсь вы поможете избавится от этого вредоносного ПО.

 

[thyrex]

Скопируйте AVBR в другую папку не на Рабочем столе и не в папку Загрузки. Пробуйте снова запустить в безопасном режиме.

 

[escapp]

Скопируйте AVBR в другую папку не на Рабочем столе и не в папку Загрузки. Пробуйте снова запустить в безопасном режиме.

Закинул в program Files, но не помогло(

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[escapp]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

В общем и целом у меня получилось открыть Avbr путем его удаления по данному пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\ в regedit
Что стоит сделать после того, как Avbr провел сканирование/очистку на базовых настройках?
Очень извиняюсь за фото, скрины пока нет возможности сделать!

 

[akok]

Что стоит сделать после того, как Avbr провел сканирование/очистку на базовых настройках?

Готовьте лог Farbar Recovery Scan Tool, дочистим ручками.

 

[escapp]

Готовьте лог Farbar Recovery Scan Tool, дочистим ручками.

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1715225493-2450479738-2721470107-1004\...\Run: [Firefox Browser] => ;C:\Firefox\X-Firefox.exe (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\DeviceCensus.exe: [Debugger] %windir%\system32\taskkill.exe
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1715225493-2450479738-2721470107-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{037A5320-1E32-41CE-A746-1BA2EE661A95}] => (Allow) C:\Users\admin\AppData\Local\Temp\beetle-cab\DriverPack\tools\aria2c.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[escapp]

fixlog

 

[akok]

Проверяйте, что с системой сейчас.

 

[Sandor]

у меня получилось открыть Avbr

Его отчёт AV_block_remove_дата-время.log прикрепите, пожалуйста, к следующему сообщению.

 

[escapp]

Его отчёт AV_block_remove_дата-время.log прикрепите, пожалуйста, к следующему сообщению.

 

[Sandor]

Спасибо. Что сейчас с проблемой?

 

[escapp]

По идее решена, проблем пока больше не заметил, спасибо за уделённое время и помощь!

 

[Sandor]

Хорошо, проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.