Решена после удаление Jonh

[h0ky12]

Здраствуйте, качал microsoft office и наткнулся на данный вирус, симптомы были такими - закрывались антивирусы, диспетчер задач, параметры(и, конечно, пользователь Jonh). Прогой AVBR снёс его, но остались некоторые проблемы: некоторые окна начали зависать, параметры так и не начали открываться(открывается окно и потом сразу закрывается). Заранее благодарен за помощь

 

[Sandor]

Здравствуйте!

Прогой AVBR снёс его

Отчёт AV_block_remove_дата-время.log прикрепите к следующему сообщению.

Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[h0ky12]

Всё выполнил

 

[Sandor]

AVbr не отработал как следует.
Скачайте его ещё раз, запустите и после перезагрузки прикрепите его новый отчёт.

 

[h0ky12]

Он нашёл какие-то файлы avz и поместил их в карантин

 

[Sandor]

Да, теперь он отработал верно.

Удалите старые и прикрепите новые логи FRST.txt и Addition.txt, пожалуйста.

 

[h0ky12]

Вот

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\elisey\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-1485128067-850457072-2224398771-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Security Cloud (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\ProgramData\AMDAutoUpdate.log:24629E69DD [5154]
  AlternateDataStreams: C:\ProgramData\AMDAutoUpdate.log:5AFFBDE7FB [5154]
  AlternateDataStreams: C:\ProgramData\droidcam-client-options-v2:8329C6407A [5154]
  AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVCleanstall.lnk:440EE88116 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL:FC91667982 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [5154]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project.lnk:3B7F7AA2C3 [5154]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5282]
  FirewallRules: [{95B42187-891E-41A6-8FE2-470E27A9EBBA}] => (Allow) LPort=65535
  FirewallRules: [{FBC1652B-364B-42FA-8666-479BDD512CAD}] => (Allow) LPort=49152
  FirewallRules: [{E5D4EE06-5514-4683-872A-9F92B4A17E19}] => (Allow) LPort=49152
  FirewallRules: [{E4257116-0614-41AA-9C3C-B1BC02A5A642}] => (Allow) LPort=49152
  StartBatch:
    netsh winsock reset catalog
    netsh int ipv4 reset reset.log
    netsh int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
  EndBatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[h0ky12]

Сделал

 

[Sandor]

Хорошо. И ещё одним скриптом удалим лишние исключения Защитника:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[h0ky12]

Готово, но одна из проблем(закрывающиеся параметры) до сих пор осталась

 

[Sandor]

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[h0ky12]

Сделал

 

[Sandor]

В перечне установленных программ виден

Win 10 Tweaker 15.2

Вносили с его помощью какие-то изменения? Если да и есть возможность, откатите их.

Скачайте вложенный архив, извлеките из него reg-файл. Запустите этот файл и согласитесь с внесением изменений в реестр.
Перезагрузите компьютер и повторите лог FSS.txt

Проверьте и сообщите что с проблемой.

 

[h0ky12]

Очень давно скачивал, и удалял(не знаю, почему оно в списках скачанных). Поэтому откатить не могу. По поводу BITS, выходит ошибка

 

[Sandor]

Выполните то же самое в безопасном режиме.

 

[h0ky12]

В безопасном режиме выдаёт ту же ошибку

 

[Sandor]

Ладно,

Перезагрузите компьютер и повторите лог FSS.txt

 

[h0ky12]

Повторил

 

[Sandor]

Выполните такой скрипт:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
  "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
  "ErrorControl"=dword:00000001
  "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
  "Start"=dword:00000002
  "Type"=dword:00000020
  "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
  "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
  "ObjectName"="LocalSystem"
  "ServiceSidType"=dword:00000001
  "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
    00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
    67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
    00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
    00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
    72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
    00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
    63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
    00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
  "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
  "DelayedAutostart"=dword:00000001
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
  "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
  "ServiceDllUnloadOnStop"=dword:00000001
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
  "Close"="PerfMon_Close"
  "Collect"="PerfMon_Collect"
  "Library"="C:\\Windows\\System32\\bitsperf.dll"
  "Open"="PerfMon_Open"
  "InstallType"=dword:00000001
  "PerfIniFile"="bitsctrs.ini"
  "First Counter"=dword:00001214
  "Last Counter"=dword:00001224
  "First Help"=dword:00001215
  "Last Help"=dword:00001225
  "Object List"="4628"
  "PerfMMFileName"="Global\\MMF_BITS_s"
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
  "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
    00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
    00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
    00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
    20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
    00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
    00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
    00,20,02,00,00
  EndRegedit:
  
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.