Решена Проблемы с нагрузкой системы и установкой антивирусов

[Nick337]

Нагружается система, не устанавливаются антивирусы. Вот логи с программы avbr

 

[Sandor]

Здравствуйте!

Вот логи с программы avbr

Пока не видно

 

[Nick337]

Здравствуйте!


Пока не видно

Скинул не то случайно. Делаю по инструкции, но архив не появляется. Программа autologger*. Как долго логи собираются?

 

[Sandor]

Как правило - несколько минут, до десяти.
Если не получается, пробуйте собрать логи в безопасном режиме.

 

[Nick337]

В безопасном режиме получилось!

 

[Sandor]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Nick337]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Nick337]

когда запустил av block remover, он сразу закрылся, но файл создал. И еще если что у меня autologger работает только в безопасном поиске без сетевых драйверов

 

[Sandor]

Пишите, пожалуйста, в нижнем поле быстрого ответа. Так не будет излишнее цитирование предыдущего сообщения.

когда запустил av block remover, он сразу закрылся

Переименовать пробовали? Запускали в безопасном режиме с поддержкой сети?

 

[Nick337]

переименовал в test.exe, запустился но закрылся через секунды 2, при запуске в безопасном режиме с поддержкой сети при нажатии на проводник или что либо на рабочем столе проводник крашится и открывается браузер(он кликабелен). тот файл от avbr, который я отправил, получилось сделать в обычном режиме только

 

[Sandor]

В безопасном режиме:
"Пофиксите" в HijackThis только следующие строки:

O1 - Hosts: Reset contents to default
O7 - AppLocker: Fix all (including policies)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\ReaItekHD\taskhost.exe
O22 - Tasks: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\ReaItekHD\taskhost.exe
O22 - Tasks: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\ReaItekHD\taskhostw.exe
O22 - Tasks: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\ReaItekHD\taskhostw.exe
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe

Перезагрузите компьютер и пробуйте ещё раз запустить AVbr.

 

[Nick337]

Получилось запустить в безопасном поиске с сетевыми драйверами. Приложения на быстром доступе были активны, я добавил avbr туда и получилось открыть не заходя в папку. Может у кого то тоже так.. Потом Во время работы высветилось удалить пользователя John, нажал да. Сейчас окно "этот майнер блокирует доступ к сайтам через hosts файл. (Да/нет/игнорировать)Тут нажимать да? *то что вы написали я не фиксил

 

[Nick337]

Получилось запустить в безопасном поиске с сетевыми драйверами. Приложения на быстром доступе были активны, я добавил avbr туда и получилось открыть не заходя в папку. Может у кого то тоже так.. Потом Во время работы высветилось удалить пользователя John, нажал да. Сейчас окно "этот майнер блокирует доступ к сайтам через hosts файл. (Да/нет/игнорировать)Тут нажимать да?

 

[Sandor]

Нажимайте "Да"

 

[Nick337]

Извините за спам, первый раз пишу что-то на форуме, думал можно удалить. Вот что получилось

 

[Sandor]

Хорошо, уже лучше. Но ещё есть над чем поработать.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('C:\Temp\TCD8E4D.tmp\Idle.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteSchedulerTask('Idle');
 DeleteSchedulerTask('NickFLoda');
 DeleteFile('C:\Temp\TCD8E4D.tmp\Idle.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NickFLoda', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NickFLoda', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Nick337]

.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (No File) <==== ATTENTION
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (No File) <==== ATTENTION
  HKU\S-1-5-21-2053703884-1746026890-858612447-1003\...\MountPoints2: {3e8f35b9-88a2-11ec-8005-2a04a1030891} - "G:\autorun.exe" 
  HKU\S-1-5-21-2053703884-1746026890-858612447-1003\...\MountPoints2: {61b8c698-2368-11ed-8036-2a04a1030891} - "D:\Autoplay.exe" -auto
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (No File) <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Task: {F851BF80-7FA9-4C61-84BF-2AA2814DF9BA} - System32\Tasks\fontdrvhost => C:\Boot\nb-NO\fontdrvhost.exe (No File)
  ProxyServer: [S-1-5-21-2053703884-1746026890-858612447-1003] => 127.0.0.1:8892
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [920]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [920]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [920]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [920]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [920]
  AlternateDataStreams: C:\Users\NickFLoda\Application Data:NT [40]
  AlternateDataStreams: C:\Users\NickFLoda\Application Data:NT2 [920]
  AlternateDataStreams: C:\Users\NickFLoda\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\NickFLoda\AppData\Roaming:NT2 [920]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Nick337]

.

 

[Sandor]

Достаточно было один раз запустить скрипт.
Что с проблемой?