Решена Поймал вирус который маскируется под realtekhd, выскакивает ошибка autoit error.

[Bohuslav]

Каждые пару минут вылазит окно с ошибкой.
Нагуглил разные рекомендации, ничего не помогает.
В автозагрузке отключить его невозможно, нажимаю отключить, он опять включается.
При попытке открыть расположение файла диспетчер либо закрывается, либо открывается пустая папка.
При попытке гуглить решение проблемы браузер закрывается.
Мсконфиг когда открываю тоже сразу закрывется.

 

[Sandor]

Здравствуйте и добро пожаловать на SafeZone!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (можно уже не переименовывать).

 

[Bohuslav]

Здравствуйте, вот логи

 

[Sandor]

Хорошо, уже должно полегчать. Некоторые хвосты следует ещё почистить.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Bohuslav]

Сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Нет файла) <==== ВНИМАНИЕ
  IFEO\calc.exe: [Debugger] win32calc.exe
  IFEO\CompatTelRunner.exe: [Debugger] svchost.exe
  IFEO\upfc.exe: [Debugger] svchost.exe
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {62C3854B-BBD1-419C-9E28-EB009718EBAF} - System32\Tasks\DriverDoc automatic scan and new device notifications => "C:\Program Files (x86)\DriverDoc\DriverDoc.exe"  -> C:\Program Files (x86)\DriverDoc\/TRAY
  Task: {B004EFA8-42E3-4A2D-8B8D-94E4DEFE2F44} - System32\Tasks\System\SystemCheck => "%userprofile%\AppData\Roaming\Microsoft\Windows\Helper.exe"  -SystemCheck (Нет файла) <==== ВНИМАНИЕ
  Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [452608 2020-11-19] (Microsoft Windows -> Microsoft Corporation) -> get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://rusearch.co"
  C:\Users\Богуслав\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
  C:\Users\Богуслав\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
  CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  2024-04-09 14:11 - 2024-04-10 12:47 - 000000000 ____D C:\ProgramData\Norton
  2024-04-09 14:11 - 2024-04-09 14:11 - 000000000 __SHD C:\Program Files\ReasonLabs
  2024-04-09 14:11 - 2024-04-09 14:11 - 000000000 __SHD C:\Program Files (x86)\Wise
  AlternateDataStreams: C:\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5500]
  AlternateDataStreams: C:\Users\Богуслав\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Богуслав\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  IE trusted site: HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\...\localhost -> localhost
  IE trusted site: HKU\S-1-5-21-2795211415-2031093456-2855726663-1001\...\webcompanion.com -> hxxp://webcompanion.com
  FirewallRules: [{89924912-1957-4957-9D6A-C888A868AA76}] => (Allow) LPort=80
  FirewallRules: [{82F4D378-17BC-4444-B615-BD8392BAC713}] => (Allow) LPort=443
  FirewallRules: [{3C822948-CFFE-4307-B421-5A45A631A355}] => (Allow) LPort=20010
  FirewallRules: [{E74E70F4-0AD8-4501-BA79-4A3A2EB299E8}] => (Allow) LPort=3478
  FirewallRules: [{4039BAFD-F289-4A32-B517-40D5D27AFEEA}] => (Allow) LPort=7850
  FirewallRules: [{97A97992-F5EC-4A93-9C7C-1B6A8045D498}] => (Allow) LPort=7852
  FirewallRules: [{0EEBE26D-16E9-4144-B267-55781B664FDD}] => (Allow) LPort=7853
  FirewallRules: [{1E059AA7-702D-4DA5-B47D-4ACE5A8B956A}] => (Allow) LPort=27022
  FirewallRules: [{427AD12F-1FD4-47B8-B656-3ED2DB88AE4B}] => (Allow) LPort=6881
  FirewallRules: [{722B3EFE-A521-4A55-A793-A2E87C0F39C1}] => (Allow) LPort=33333
  FirewallRules: [{CCD8AA70-94E2-420C-BBC6-2739D167AA5E}] => (Allow) LPort=20443
  FirewallRules: [{4C6B25B7-60D1-4DFC-B4E5-470BA9C70293}] => (Allow) LPort=8090
  FirewallRules: [{AB2012CE-F349-4618-A59D-B5EC261F7162}] => (Allow) LPort=80
  FirewallRules: [{366FE3D6-58C1-48AD-AEE0-824A0D9AB438}] => (Allow) LPort=443
  FirewallRules: [{DE28B16A-4DF0-4C04-8155-E889EAC72D8B}] => (Allow) LPort=20010
  FirewallRules: [{6FE210A8-EF65-4DFC-9D44-25A035DACE49}] => (Allow) LPort=3478
  FirewallRules: [{58B7C42C-B97D-44A8-9E3C-41F550BB76F4}] => (Allow) LPort=7850
  FirewallRules: [{8CE1CE68-EBB5-4DC4-AC49-B40A931C6D45}] => (Allow) LPort=7852
  FirewallRules: [{2CE1A5E6-555A-4041-BA6D-540B6DD8C84F}] => (Allow) LPort=7853
  FirewallRules: [{10E6CB8C-8840-4D00-B536-28F279F905B5}] => (Allow) LPort=27022
  FirewallRules: [{DBD10909-8B75-42B7-B680-33F0758B3AC4}] => (Allow) LPort=6881
  FirewallRules: [{0C9275A1-E4B6-42A9-AD13-9DE3744473CB}] => (Allow) LPort=33333
  FirewallRules: [{DF4668E1-056F-49A1-94BC-0A6F18E02D82}] => (Allow) LPort=20443
  FirewallRules: [{11720024-1C68-46BA-9A3A-E530B529306E}] => (Allow) LPort=8090
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Bohuslav]

Готово

 

[Sandor]

Хорошо. Проблема решена?

 

[Bohuslav]

Да, все супер, проблема решена) Спасибо за помощь!

 

[Sandor]

Отлично!
В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Bohuslav]

готово

 

[Sandor]

Исправьте по возможности:

Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
Microsoft OneDrive v.21.030.0211.0002 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9001 Внимание! Скачать обновления
Zoom v.5.17.5 (31030) Внимание! Скачать обновления
Viber v.15.3.0.5 Внимание! Скачать обновления
µTorrent v.3.6.0.47044 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
Opera Stable 96.0.4693.20 v.96.0.4693.20 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.22 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
RAV Endpoint Protection v.5.5.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

 

[Bohuslav]

Спасибо!