Решена Подхватил вирус или майнер

[Qwereder]

Не даёт запускать программы, закрывает браузер, сайты (даже этот, пишу с телефона)
Скачал какой-то файл, сразу реалтек появился, не первый раз ( два года назад было уже)
Поэтому сразу побежал сюда помощи просить

 

[Qwereder]

Авз не дает скинуть скрипт, кину фарбара
У меня уже и пользователь Джон появился

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Если и так не сработает, запустите в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по Правилам оформления запроса о помощи

 

[Qwereder]

Здравствуйте! Вот отчет, пришлось через безопаску делать

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Если и так не сработает, запустите в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по Правилам оформления запроса о помощи

 

[Sandor]

Хорошо. Теперь:

соберите CollectionLog Автологером по Правилам оформления запроса о помощи

 

[Qwereder]

Хорошо. Теперь:

Вот

 

[Sandor]

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Qwereder]

Вот отчеты

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

1.
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Bonjour

2.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\SecurityHealthService.exe: [Debugger] C:\Windows\system32\systray.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  AutoConfigURL: [{A3867456-B4CA-4C3D-95F1-D364A2104860}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  AutoConfigURL: [S-1-5-21-636036586-601765070-4224583057-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows\tracing:? [16]
  FirewallRules: [{2FA235D2-9BBD-4410-93A2-E2D54F75AA42}] => (Allow) LPort=9223
  FirewallRules: [{7DD03CCF-87F3-4F31-9EE5-AD9807A18E80}] => (Allow) LPort=9245
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

3.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

[Qwereder]

1.
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:


2.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\SecurityHealthService.exe: [Debugger] C:\Windows\system32\systray.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  AutoConfigURL: [{A3867456-B4CA-4C3D-95F1-D364A2104860}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  AutoConfigURL: [S-1-5-21-636036586-601765070-4224583057-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows\tracing:? [16]
  FirewallRules: [{2FA235D2-9BBD-4410-93A2-E2D54F75AA42}] => (Allow) LPort=9223
  FirewallRules: [{7DD03CCF-87F3-4F31-9EE5-AD9807A18E80}] => (Allow) LPort=9245
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

3.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

Все выполнил

 

[Sandor]

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Кроме этого

 

[Qwereder]

Кроме этого

Ой, извиняюсь

 

[Sandor]

Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Qwereder]

Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Вот, спасибо еще раз

 

[Sandor]

-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.3.1 v.4.4.3.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Читайте Рекомендации после удаления вредоносного ПО

 

[Qwereder]

-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.3.1 v.4.4.3.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Читайте Рекомендации после удаления вредоносного ПО

Это так опасно без обновлений?

 

[Sandor]

В рекомендациях и об этом тоже есть. Если кратко, с обновлениями закрываются существующие и потенциальные уязвимые места.