Закрыто Поймал вирус, блокирует сайты, создание архивов и так далее.

[roody]

После установки KMS активатор винды поймал что-то страшное( Сначала попробовал вылечить самым банальным методом. Отправил себе в ТГ файл Курейта, ADW, Malwarebytes, AVbr. Курейт запустился, нашёл 8 угроз, realtek hd один из них, нажал обезвредить - после перезагрузки ничего не поменялось. Решил попробовать остальные программы - не запускались, блокировались администратором (John). Решил зайти в безопасный режим и проделать всё уже в нём. Через AVbr удалил John и Host-ы которые он создавал - после перезагрузки снова та же тема. Но я заметил, что перед запуском пк, открылся PowerShell и там что-то писалось. Нашёл на форумах подобную проблему, скачал AVZ. Вставлял скрипты (перепробовал все, которые прикреплены в txt) - после выхода из безопасного режима всё по новой. Подумал, что Майнер создал резервную копию и по ней откатывается каждый раз назад, удалил все резервные копии - не помогло. После скачал FRST и уже через другие скрипты пытался вылечить (прикрепил ниже) - не помогло. Файлы логов с FRST прикрепил ниже. Вирус постоянно снова устанавливается, как только выхожу из безопасного режима. Файлы логов AV_block тоже скинул. (Логи коллекция, это новые логи, сделанные в безопасном режиме с отключенными антивирусами.)

 

[thyrex]

Архив кто-то просил переименовывать?

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed)
O4 - MountPoints2: HKCU\..\{17293cbd-8d18-11ea-92e7-049226cd6169}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{34692011-7ee0-11ea-92c7-049226cd6169}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{78e5a000-1e9b-11ea-9215-049226cd6169}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk1 SyncDone: (no name) - {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk2 SyncProgress: (no name) - {75EF3512-D401-4172-BA0F-00E000DCBCE4} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk3 SyncDisabled: (no name) - {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk4 SyncError: (no name) - {9CE04609-A360-4266-9937-9D799E8D2D5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk5 SyncPart: (no name) - {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\ASC_PerformanceMonitor" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\ASC_SkipUac_User" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Browserupdphenix" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\KMSAutoNet" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\MailRuUpdater" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\OneDrive Standalone Update Task-S-1-5-21-921867335-2524397598-2277952782-1000" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\OneDrive Standalone Update Task-S-1-5-21-921867335-2524397598-2277952782-500" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Opera GX scheduled assistant Autoupdate 1615898193" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Opera GX scheduled Autoupdate 1599069292" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Overwolf Updater Task" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Uninstaller_SkipUac_User" /ENABLE (user missing) (sign: 'Microsoft')
O22 - Tasks: \Microsoft\Windows\GlobalDataI\LpgPrZlB - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\GlobalDataI\RecoveryHosts - C:\ProgramData\Microsoft\Windows\LpgPrZlB\GlobalDataI.bat (not signed)
O22 - Tasks: \Microsoft\Windows\GlobalDataI\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: AAct - C:\Windows\AAct_Tools\AAct.exe /win=act /ofs=act /auto (file missing)
O22 - Tasks: Browserupdphenix - C:\Users\User\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=560762A6FAE75688731FFF9376ACCE972D8EA16D3E9CA8AC3868DD6FE9E8D33F2BCF2C249BA56D3E34609CC46A --id=1 --sub-id=558 (file missing)
O22 - Tasks: TotalAdblockLogonUpdate - C:\Users\User\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (not signed)

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[roody]

Вот, сделал всё в безопасном режиме с сетью. Теперь программы начали открываться, но хост так и остался.

 

[roody]

Сейчас сделал AVb и всё стало вроде бы в порядке. Спасибо огромное! А вы не можете в двух словах сказать, как у вируса получалось заново устанавливаться после выхода из безопасного режима?

 

[roody]

AVb снова нашёл Хоста, но в диспетчере нет, процессор не нагружает.

 

[thyrex]

А вы не можете в двух словах сказать, как у вируса получалось заново устанавливаться после выхода из безопасного режима?

Задачи в Планировщике, которые на данный момент не удаляются AVBR.

AVb снова нашёл Хоста

Не нужно без надобности запускать утилиту заново.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[roody]

Вот.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  Task: {1131D657-D675-48E3-9F5D-2E6E3A2CA587} - System32\Tasks\Sump Task (One-Time) => "C:\Program Files (x86)\IObit\Advanced SystemCare\sump.exe"  /sup2 (Нет файла)
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohgihjjamahlilnoifoicncfnlpmbcgk
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  2023-08-15 21:49 C:\Program Files\NETGATE
  2023-08-15 21:49 C:\Program Files\QuickCPU
  2023-08-15 21:49 C:\Program Files (x86)\GPU Temp
  2021-12-30 16:04 C:\Program Files (x86)\Transmission
  2021-12-31 01:07 C:\Program Files\Common Files\AV
  2023-08-17 21:22 C:\ProgramData\princeton-produce
  S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [0 0000-00-00] (Transmission Project) [Доступ не разрешён] <==== ВНИМАНИЕ
  C:\Program Files (x86)\Transmission
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{66d7c868-b22d-c2f9-ef63-90654392c6da}\localserver32 -> "D:\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-921867335-2524397598-2277952782-1000_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
  ContextMenuHandlers1: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} =>  -> Нет файла
  ContextMenuHandlers3: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} =>  -> Нет файла
  ContextMenuHandlers4: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} =>  -> Нет файла
  ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
  ContextMenuHandlers6: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} =>  -> Нет файла
  ContextMenuHandlers1_S-1-5-21-921867335-2524397598-2277952782-1000: [Yandex.Disk.3] -> {847202AE-CDE0-469A-AF10-8798E02DED83} =>  -> Нет файла
  AlternateDataStreams: C:\Windows\system32\--debugoff:6BE03D40AB [3434]
  AlternateDataStreams: C:\Windows\system32\--traceoff:407B8403CE [3434]
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\55.zip:E9BEA6C937 [3434]
  AlternateDataStreams: C:\ProgramData\AV.js:F81D557AB0 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TM.blf:DD7E44316D [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TMContainer00000000000000000001.regtrans-ms:1736802F87 [3434]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TMContainer00000000000000000002.regtrans-ms:8F88BEDE2A [3434]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjhhqkh [0]
  AlternateDataStreams: C:\ProgramData\update.zip:3BEC0DEA0C [3434]
  AlternateDataStreams: C:\ProgramData\WnHqYU0nH4:D39ABDACE2 [3434]
  AlternateDataStreams: C:\ProgramData\yandexBrowserDownloader.exe:ECEA773395 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2019.lnk:AAF8908258 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller.lnk:0C48161B06 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3770]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [230]
  AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  FirewallRules: [{50791441-56AA-474C-B493-A5543550E8BA}] => (Allow) LPort=80
  FirewallRules: [{8901ABB3-671C-42A5-B0CA-A8A0CC0CDC05}] => (Allow) LPort=443
  FirewallRules: [{39EEFDA9-7D50-4E4D-AF60-42B9BDB8D901}] => (Allow) LPort=20010
  FirewallRules: [{2E2E392F-6CF8-46F1-A082-3CC39E43887D}] => (Allow) LPort=3478
  FirewallRules: [{509F6DD5-68A1-4ADA-A87B-0FA703ADF1A3}] => (Allow) LPort=7850
  FirewallRules: [{E76EA51F-816D-4727-9C1C-D2D83DD65A70}] => (Allow) LPort=7852
  FirewallRules: [{5AACD583-59A9-4DC2-9BF1-33223F41BB5A}] => (Allow) LPort=7853
  FirewallRules: [{7208E4BC-D292-4194-B17E-D9540C78F4D9}] => (Allow) LPort=27022
  FirewallRules: [{ED15E475-86D5-4008-884D-19DC950E6F69}] => (Allow) LPort=6881
  FirewallRules: [{9C5C6963-BE54-4628-A805-EA7068E02C9D}] => (Allow) LPort=33333
  FirewallRules: [{735C0847-F3CE-4DCB-9767-1CAF6FDF3934}] => (Allow) LPort=20443
  FirewallRules: [{02FCD662-FE7F-4E1F-83A8-D3EF05B83BC3}] => (Allow) LPort=8090
  FirewallRules: [{BA133F20-D95D-4474-91AF-EFF68EFB39EE}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{2CEE2AE1-8F31-46F5-B52A-F6CC66ABBA38}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{310D40A5-D64B-4207-81CF-C2B2E226E91F}] => (Allow) D:\FarCry5\bin\FarCry5.exe => Нет файла
  FirewallRules: [{1B4FCC4B-CC6A-46D3-A6D2-A7A6B25F3164}] => (Allow) D:\FarCry5\bin\ArcadeEditor64.exe => Нет файла
  FirewallRules: [{015A3DDF-9B90-45BB-84A5-D6E0AD431291}] => (Allow) D:\FarCry5\bin\FarCry5.exe => Нет файла
  FirewallRules: [{CC0A2751-5F2B-4731-98F5-700F56932C4F}] => (Allow) D:\FarCry5\bin\ArcadeEditor64.exe => Нет файла
  FirewallRules: [{7E76C0F9-35CB-4C84-B411-966DD835804E}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{512DE3F3-CE0A-4AFA-8E44-33DD7C8D082B}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{B0A57D5B-8A6B-4DD3-A3C3-EB2724A033A4}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  FirewallRules: [{5E5A12C8-C54F-4C6B-A45A-586C0A2981F2}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  FirewallRules: [{6805924F-E7D7-47FC-9B49-519FA40C1569}] => (Allow) C:\Program Files\NewBlueFX\TitlerLive\TitlerLiveStandalone.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После скрипта

YoutubeDownloader

удалите через Установку программ или принудительно с помощью Geek Uninstaller


Запустите расширенную проверку и прикрепите логи

Проверка целостности системных файлов утилитой sfc

Автоматизированный скрипт проверки sfc/scannow. Как правильно анализировать cbs.log и результаты проверки sfc /scannow Умеет производить проверку целостности хранилища компонентов, восстановление и очистку на системах начиная с Windows 7...

www.safezone.cc

 

[roody]

Вот.

 

[akok]

Так же лог файлы будут скопированы в каталог, из которого был запущен данный скрипт.

Забыли sfcdoc.log

 

[roody]

 

[roody]

В папке больше ничего не было.

 

[thyrex]

В папке больше ничего не было.

этот файл не имеет отношения к Farbar. Вам дали выше ссылку, как его можно получить.

 

[Sandor]

@roody, наша помощь ещё требуется?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!