Решена Полное удаление майнера John

[Torlaf]

Нашёл ваш сайт только сегодня. Позавчера пытался избавиться от майнера, удалил, симптомы прошли, но сегодня он вернулся.
Почему я думаю,что у меня майнер?
1)Аккаунт John в системе
2)Браузер закрывается при открытии сайтов антивирусов
3)Командная строка произвольно открывается и моментально закрывается при запуске

Что я уже сделал:
1) установил Dr web cure it и ad block remover 20 августа.
2)Очистил через эти утилиты в безопасном режиме пару раз подряд( с первого раза симптомы не ушли)

И уже сегодня,22 августа, майнер воскрес и прежние методы не сработали(2 раза попробовал )

Прикрепил свежий лоо

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\Users\Lenovo\mediaget2\mediaget_crashpad_handler.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\5U3RvjKt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[Torlaf]

@thyrex, нормально ли, что после выполнения скрипта от имени админа в безопасном режиме с поддержкой сети появляется синий экран с смайликом,а потом перезагрузка?



В avbr можно было поставить галочку в области поиска на диск С, но я не стал



В автологгере делал логи в безопасном режиме, тк даже если переименовать все ведущие к нему папки и сам экзешник, то все равно закрывает



Проблема не устранена

 

[Torlaf]

@thyrex, нормально ли, что после выполнения скрипта от имени админа в безопасном режиме с поддержкой сети появляется синий экран с смайликом,а потом перезагрузка?



В avbr можно было поставить галочку в области поиска на диск С, но я не стал



В автологгере делал логи в безопасном режиме, тк даже если переименовать все ведущие к нему папки и сам экзешник, то все равно закрывает



Проблема не устранена

Даже вернее сказать при активации скрипта. Я нажимаю выполнить и сразу синий экран

 

[Torlaf]

нормально ли, что сразу после активации скрипта от имени админа в безопасном режиме с поддержкой сети появляется синий экран с смайликом,а потом перезагрузка?



В avbr можно было поставить галочку в области поиска на диск С, но я не стал



В автологгере делал логи в безопасном режиме, тк даже если переименовать все ведущие к нему папки и сам экзешник, то все равно закрывает



Проблема не устранена

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\Users\Lenovo\mediaget2\mediaget_crashpad_handler.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\5U3RvjKt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[Torlaf]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\Users\Lenovo\mediaget2\mediaget_crashpad_handler.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseV\5U3RvjKt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Я ответил еще пол часа назад, но без кнопки ответить. Написано, что модератор еще не одобрил, из-за этого я написал новый ответ через кнопку ответить, поэтому на логах такое время. Все это время ноутбук не использовал

 

[thyrex]

Пойдем другим путем

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\5U3RvjKt - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryHosts - C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)

А дальше продолжите, начиная с AV block remover

 

[Torlaf]

Пойдем другим путем

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\5U3RvjKt - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryHosts - C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)

А дальше продолжите, начиная с AV block remover

"Дальше продолжите, начиная с AV block remover" просто логи после хайджека сделать? Или что?

 

[Torlaf]

Пойдем другим путем

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\5U3RvjKt - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryHosts - C:\ProgramData\Microsoft\Network\5U3RvjKt\DataBaseV.bat (not signed)
O22 - Tasks: \Microsoft\Windows\DataBaseV\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)

А дальше продолжите, начиная с AV block remover

Сделал по инструкции все в хайджеке и потом заметил ярлык диска С на рабочем столе. Это могло на что-то повлиять? Я не создавал этот ярлык
Проблема всё еще актуальна, прикрепляю свежий лог

 

[thyrex]

Проблема всё еще актуальна

Потому что одну строчку Вы пропустили в фиксе для HiJackThis

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O22 - Tasks: \Microsoft\Windows\DataBaseV\5U3RvjKt - C:\Programdata\ReaItekHD\taskhost.exe (not signed)

"Дальше продолжите, начиная с AV block remover"

Неужели непонятно, что дальше нужно было запустить AV block remover и прислать его лог??? Приступайте.

После действий с AV block remover выполните написанное ниже.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Torlaf]

Потому что одну строчку Вы пропустили в фиксе для HiJackThis

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O22 - Tasks: \Microsoft\Windows\DataBaseV\5U3RvjKt - C:\Programdata\ReaItekHD\taskhost.exe (not signed)

Неужели непонятно, что дальше нужно было запустить AV block remover и прислать его лог??? Приступайте.

После действий с AV block remover выполните написанное ниже.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Сделал лог в автологге после FRST
Dekstop содержит логи из FRST
С помощью Хайджека исправил нужную строку
Сейчас сайты антивирусов открываются, ноутбук не гудит
Спасибо огромное, более трех часов вы мне, дурачку,помогали, при этом ничего не требуя взамен
Но радоваться может рано,как в прошлом случае

 

[thyrex]

Вы как-то странно читаете что Вам пишут. Я же писал

Неужели непонятно, что дальше нужно было запустить AV block remover и прислать его лог??? Приступайте.

Вы снова ничего не сделали, а сразу после фикса перешли к сбору логов Farbar.

1. Запустите в обычном режиме AV block remover и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

2. Удалите старые файлы FRST.txt и Addition.txt, запустите Farbar в обычном режиме, соберите новые логи и пришлите новый архив с ними.

 

[Torlaf]

Вы как-то странно читаете что Вам пишут. Я же писал

Вы снова ничего не сделали, а сразу после фикса перешли к сбору логов Farbar.

1. Запустите в обычном режиме AV block remover и следуйте инструкциям.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

2. Удалите старые файлы FRST.txt и Addition.txt, запустите Farbar в обычном режиме, соберите новые логи и пришлите новый архив с ними.

Попытался сделать всё так, как Вы сказали, верно ли всё?

 

[thyrex]

Теперь все верно сделали.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
Task: {18CAEB69-B3DE-44D4-972E-1321750FD476} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1202234833-3277427669-789015195-1001 => C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {006D8B22-0A5E-4CB0-BCB1-3EA4CCCBC2F0} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1202234833-3277427669-789015195-500 => C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {81A35C71-8C91-4BBE-8C03-BC35E3813248} - System32\Tasks\Opera scheduled Autoupdate 1690963746 => C:\Users\Lenovo\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
C:\ProgramData\Microsoft\Network\5U3RvjKt
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Users\Lenovo\AppData\Roaming\Sysfiles
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2023-08-16 22:44 - 2023-08-16 22:44 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{0CE660B9-F963-4084-ACF5-A3053CFA61E8}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\steam\Steam.exe => Нет файла
FirewallRules: [{6CE7E43F-631F-4285-A137-580FECEAC23E}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\steam\Steam.exe => Нет файла
FirewallRules: [{5DE15571-A1A7-40B1-8E7B-4F2B54EB1178}] => (Allow) C:\Users\Lenovo\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{BF7D822C-AB9B-462A-BFF9-02097C858727}] => (Allow) C:\Users\Lenovo\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{312CD525-74A5-4B83-9E52-A2144E30CFA5}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\СТИМ\Steam.exe => Нет файла
FirewallRules: [{EC61F27A-AAB0-4C94-9915-5C20AFE2F8F8}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\СТИМ\Steam.exe => Нет файла
FirewallRules: [{FB1E033C-7BDC-4915-8559-D56010A30FC0}] => (Allow) C:\Users\Lenovo\AppData\Local\Programs\Opera\101.0.4843.25\opera.exe => Нет файла
FirewallRules: [{89F6E3C4-F72D-4096-8FF6-CE1E73DAA653}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{A28A9594-DE2B-42D6-849E-19C7F5FC4BAF}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{78E53F7B-5999-448B-A76D-95B400CCEEC1}C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe] => (Allow) C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe => Нет файла
FirewallRules: [UDP Query User{151C17D1-A890-4C56-B9C5-94914B240181}C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe] => (Allow) C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Torlaf]

Теперь все верно сделали.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
Task: {18CAEB69-B3DE-44D4-972E-1321750FD476} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1202234833-3277427669-789015195-1001 => C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {006D8B22-0A5E-4CB0-BCB1-3EA4CCCBC2F0} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1202234833-3277427669-789015195-500 => C:\Program Files (x86)\Microsoft OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {81A35C71-8C91-4BBE-8C03-BC35E3813248} - System32\Tasks\Opera scheduled Autoupdate 1690963746 => C:\Users\Lenovo\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
C:\ProgramData\Microsoft\Network\5U3RvjKt
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Users\Lenovo\AppData\Roaming\Sysfiles
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-16 22:45 - 2023-08-16 22:45 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2023-08-16 22:44 - 2023-08-16 22:44 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{0CE660B9-F963-4084-ACF5-A3053CFA61E8}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\steam\Steam.exe => Нет файла
FirewallRules: [{6CE7E43F-631F-4285-A137-580FECEAC23E}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\steam\Steam.exe => Нет файла
FirewallRules: [{5DE15571-A1A7-40B1-8E7B-4F2B54EB1178}] => (Allow) C:\Users\Lenovo\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{BF7D822C-AB9B-462A-BFF9-02097C858727}] => (Allow) C:\Users\Lenovo\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{312CD525-74A5-4B83-9E52-A2144E30CFA5}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\СТИМ\Steam.exe => Нет файла
FirewallRules: [{EC61F27A-AAB0-4C94-9915-5C20AFE2F8F8}] => (Allow) C:\Users\Lenovo\Desktop\папка с папками\СТИМ\Steam.exe => Нет файла
FirewallRules: [{FB1E033C-7BDC-4915-8559-D56010A30FC0}] => (Allow) C:\Users\Lenovo\AppData\Local\Programs\Opera\101.0.4843.25\opera.exe => Нет файла
FirewallRules: [{89F6E3C4-F72D-4096-8FF6-CE1E73DAA653}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{A28A9594-DE2B-42D6-849E-19C7F5FC4BAF}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{78E53F7B-5999-448B-A76D-95B400CCEEC1}C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe] => (Allow) C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe => Нет файла
FirewallRules: [UDP Query User{151C17D1-A890-4C56-B9C5-94914B240181}C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe] => (Allow) C:\установка приложений\the jackbox party pack 4\the jackbox party pack 4.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скопировал, открыл, нажал на "Исправить". Комп перезагрузился, отправляю файл. Утилита сама достала код из буфера или его еще надо использовать? Всё ли правильно?

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Torlaf]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

Скачал,открыл от имени админа, нашёл, скопировал и вставил файл. Всё правильно?

 

[thyrex]

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet v.3.01.4307 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

по возможности исправьте указанное, и на этом закончим

 

[Torlaf]

по возможности исправьте указанное, и на этом закончим

Еще раз спасибо огромное, без вас у меня бы точно не получилось! Удачи