Решена обнаружил Taskhostw, audiodg при сканировании утилитой dweb

Статус
В этой теме нельзя размещать новые ответы.
LXGGT

LXGGT

Новый пользователь
Сообщения
9
Реакции
0
Решил просканировать ноутбук и обнаружил данные файлы. Почитал ваш форум и понял что вирус, при попытке сделать логи автологгером он вылетает (переименовал) помогите пожалуйста.
 
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите CollectionLog.
 
автологер, а вот архив с AV не хочет грузится на сайт
 

Вложения

Последнее редактирование:
Смотрится неплохо, что по симтомам?
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
 
симптомы, закрытие сайтов с утилитами и ../ProgramData, прикрепляю первого скана скриншот
 

Вложения

  • _2023-09-27_233008169.webp
    _2023-09-27_233008169.webp
    37.3 KB · Просмотры: 53
Вот так же уведомления антивируса
 

Вложения

  • _2023-09-27_233932186.webp
    _2023-09-27_233932186.webp
    13 KB · Просмотры: 39
  • _2023-09-27_233919811.webp
    _2023-09-27_233919811.webp
    12.3 KB · Просмотры: 42
  • _2023-09-27_233904603.webp
    _2023-09-27_233904603.webp
    11.4 KB · Просмотры: 41
  • _2023-09-27_233846650.webp
    _2023-09-27_233846650.webp
    13.8 KB · Просмотры: 44
Все это явно до использования AVBR. А Вас спросили о текущем состоянии.
 
сейчас после перезапуска лучше
 
Хорошо. Проверим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2023-09-15 20:57 - 2023-09-15 20:57 - 000000000 __SHD C:\ProgramData\princeton-produce
FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-04-26] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ExitLag.lnk:263122CD57 [3442]
AlternateDataStreams: C:\Users\livmo\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\livmo\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Хорошо. Подведём итог - проблема решена?
 
вроде да, но иногда выскакивает пустая консоль на пол секунды.
 
LXGGT написал(а):
иногда выскакивает пустая консоль на пол секунды
Нажмите для раскрытия...
В какой момент, не заметили? На старте системы? Перепроверьте что у вас в автозагрузке.

В завершение по нашей части:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

O
  • Закрыта
Решена Dr. Web Curelt обнаружил NET:MALWARE.URL, но при обезвреживании выдаёт ошибку
Ответы
16
Просмотры
243
akok
akok
C
  • Закрыта
Решена Curelt обнаружил NET:MALWARE.URL, но при обезвреживании выдаёт ошибку
2
Ответы
27
Просмотры
471
Sandor
Sandor
kemper1233
  • Закрыта
Решена Glasswire обнаружил передачу данных IP-адрес 151.139.186.43
Ответы
6
Просмотры
417
kemper1233
kemper1233
Назад
Сверху Снизу