Решена Поймала вирус winserw.exe

[Жабуся]

Здравствуйте. Недавно был куплен новый пк, все чисто. Ни одного сообщения о вирусах не было, но почему то у меня нет прав чтобы открыть антивирус винды (связано или нет, не знаю). И вот это чудо вылазит и пишет мне что у меня активирована утилита удаленного контроля. Диспетчер задач работает из-под палки, браузер при попытке зайти на ваш сайт закрывается, установить антивирус не даёт. Заметила в пользователях вездесущего Josh, и под лагами еле его удалила. Но похоже зря ибо не спасло. Помогите

 

[akok]

Скорее всего активатор был заражен.

Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.

 

[Жабуся]

Здравствуйте, вот

Скорее всего активатор был заражен.

Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.

 

[Sandor]

Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению

Это забыли.

 

[Жабуся]

Это забыли.

Перезагрузки не произошло, логи утилиты прикрепила

 

[Sandor]

@Жабуся, будьте внимательны. Перечитайте моё предыдущее сообщение и прикрепите нужный лог.

 

[Жабуся]

@Жабуся, будьте внимательны. Перечитайте моё предыдущее сообщение и прикрепите нужный лог.

Если это не тот лог то у меня больше других нет

 

[Sandor]

По какой-то причине программа AVbr не отработала как следует.
Запустите её ещё раз. Если отчёт получится такой же короткий, запустите программу в безопасном режиме.

 

[Жабуся]

По какой-то причине программа AVbr не отработала как следует.
Запустите её ещё раз. Если отчёт получится такой же короткий, запустите программу в безопасном режиме.

Скорее всего скачала в первый раз повреждённую утилиту, новая запустилась спокойно и все ок

 

[Sandor]

Подтверждаю, и она отработала успешно.

Включите защиту от подделки (была отключена майнером)

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

Соберите новый CollectionLog Автологером, пожалуйста.

 

[Жабуся]

Подтверждаю, и она отработала успешно.

Включите защиту от подделки (была отключена майнером)

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

Соберите новый CollectionLog Автологером, пожалуйста.

Защиту включить не могу(

 

[Sandor]

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа, пожалуйста.

"Пофиксите" в HijackThis только следующие строки:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 2

Перезагрузите компьютер и пробуйте включить защиту ещё раз.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Жабуся]

Ок

 

[Sandor]

и пробуйте включить защиту ещё раз

Получилось?

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKU\S-1-5-21-2048820565-1946694537-3067286305-1001\...\MountPoints2: {303eec80-566d-11ee-8d61-943ac7fa064a} - "F:\autorun.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Profile 1 -> "hxxp://mypoisk.su/"
  2023-09-19 00:27 - 2023-10-19 10:30 - 000000000 ____D C:\Program Files\RDP Wrapper
  2023-09-19 00:27 - 2023-09-19 00:27 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2023-09-19 00:27 - 2023-09-19 00:27 - 000000000 __SHD C:\ProgramData\princeton-produce
  FirewallRules: [{CF8C3578-A737-458A-AC31-08DC0DBA4443}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Жабуся]

Защита до этого не включилась

 

[Sandor]

Ещё один небольшой скрипт выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Жабуся]

.

 

[regist]

Скорее всего скачала в первый раз повреждённую утилиту, новая запустилась спокойно и все ок

Не повреждённую, а устаревшую. О чём при запуске она вас и предупредила.

 

[regist]

.

Опять прочитайте внимательно, что вас просили сделать.