Решена Попытка открыть MB

[Heqrek]

На время лечения деинсталлируйте Dr. Web.

Написал же что не могу его удалить

 

[akok]

при попытке удаления через remover компьютер зависает намертво

И в безопасном режиме?

 

[Heqrek]

И в безопасном режиме?

Решил проблему, запустил ремувер, попытался быстро отключить защиту и удалил веб.
Хотел бы узнать, проблем в логах не было больше никаких?

 

[akok]

Не видно, но этот майнер портит права на папки, чтоб заблокировать работу антивирусов и утилит лечения.

 

[Heqrek]

Дальше есть указания?

 

[Sandor]

Уточните, пожалуйста, сейчас "внешне" никаких больше нет проблем?
Для верности удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Heqrek]

Уточните, пожалуйста, сейчас "внешне" никаких больше нет проблем?
Для верности удалите старые и соберите новые логи FRST.txt и Addition.txt

На данный момент не заметно

 

[Heqrek]

вот

 

[Sandor]

Выполните скрипт из этого сообщения и прикрепите запрашиваемый там же лог.

Malwarebytes сейчас нормально функционирует?
Dr.Web планируете заново ставить или будем чистить хвосты?

 

[Heqrek]

Выполните скрипт из этого сообщения и прикрепите запрашиваемый там же лог.

Malwarebytes сейчас нормально функционирует?
Dr.Web планируете заново ставить или будем чистить хвосты?

повторно?
Mb работает хорошо, веб не нужен

 

[Sandor]

Виноват, не понял, что этот лог находится в общем архиве.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-657416410-1800948990-1666288166-1001\...\MountPoints2: {1c61861e-8732-11ec-968c-00e00b3ed8fa} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-657416410-1800948990-1666288166-1001\...\MountPoints2: {419169df-cbbe-11ec-96b6-00e00b3ed8fa} - "E:\HiSuiteDownLoader.exe"
  Task: {1C307F37-4590-42FA-B89C-104E037297F3} - System32\Tasks\Doctor Web\Dr.Web Daily scan => C:\Program Files\DrWeb\dwscanner.exe /full (Нет файла)
  S2 DrWebWscService; C:\Program Files\DrWeb\wsc-service.exe [0 2022-05-26] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
  2022-05-24 02:08 - 2022-05-24 02:08 - 000000000 ____D C:\Users\User\Doctor Web
  2022-05-24 01:49 - 2022-05-24 01:49 - 000000000 ____D C:\Windows\system32\Tasks\Doctor Web
  2022-05-24 01:48 - 2022-05-26 23:41 - 000000000 ____D C:\Program Files\DrWeb
  2022-05-26 23:40 - 2022-02-04 16:47 - 000000000 ____D C:\ProgramData\Doctor Web
  AV: Dr.Web Security Space (Disabled - Out of date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать или нажать кнопку Copy в верхнем правом углу скрипта).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Heqrek]

log

 

[Sandor]

Хорошо, если проблема решена, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.