Решена Решение проблемы с помощью AV Block Remover

Статус
В этой теме нельзя размещать новые ответы.
A

AndrewSam

Новый пользователь
Сообщения
5
Реакции
0
Пару недель назад начали появляться проблемы с доступом в Интернет - не работало проводное подключение, хотя статус был "Подключено". При запуске системы открывался браузер с рекламной вкладкой. Задался вопросом антивируса. В процессе того, как я с ним разбирался - обнаружил, что отсутствует файл host и не открывается gpedit.msc (открывается и сразу закрывается). При попытке зайти на некоторые страницы этого форума или других с обсуждением аналогичной проблемы - браузер закрывался до тех пор, пока не закроешь конкретную вкладку.
Нашел на форуме решение с помощью AV Block Remover. После долгих мучений все удалось, есть логи. В целом доступ ко всему появился, но при запуске все еще открывается рекламная вкладка. Помогите оценить, что еще нужно сделать?
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 SetServiceStart('Microsoft Framework', 4);
 QuarantineFile('C:\Program Files (x86)\IOTransfer\IOT\IOTransfer.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '32');
 DeleteService('Microsoft Framework');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', 'x32');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:
akok написал(а):
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 SetServiceStart('Microsoft Framework', 4);
 QuarantineFile('C:\Program Files (x86)\IOTransfer\IOT\IOTransfer.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '32');
 DeleteService('Microsoft Framework');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', 'x32');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Нажмите для раскрытия...

2023.03.12_quarantine_4b8a99c438969677З8693cb8cbdcaf4e.7z
 
Не надо цитировать мои ответы без нужды, это перегружает сообщения.

akok написал(а):
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Нажмите для раскрытия...
Где?
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{01C5B377-A7EB-4FF3-9C6C-86852FACB348} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{01C5B377-A7EB-4FF3-9C6C-86852FACB348} - \Microsoft\Windows\Management\Provisioning\Logon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6FFA775B-E7BB-4DE0-A8F8-EA6FA07E6B25} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6FFA775B-E7BB-4DE0-A8F8-EA6FA07E6B25} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{798DB582-30ED-4D82-974F-12178BC4D55A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{798DB582-30ED-4D82-974F-12178BC4D55A} - \Microsoft\Windows\Speech\SpeechModelDownloadTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9CB9760E-A5CF-40B2-AA8B-66B3D69315E7} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9CB9760E-A5CF-40B2-AA8B-66B3D69315E7} - \Microsoft\Windows\Management\Provisioning\Cellular (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9EAD9AC1-567C-4584-B2E7-D698D822CFDA} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9EAD9AC1-567C-4584-B2E7-D698D822CFDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D7603DFD-C214-4EA9-AED2-7A9EF224A164} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D7603DFD-C214-4EA9-AED2-7A9EF224A164} - \Microsoft\Windows\Diagnosis\Scheduled (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA103B2E-5EB2-499F-9443-9765F29C7B5B} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA103B2E-5EB2-499F-9443-9765F29C7B5B} - \Microsoft\Windows\LanguageComponentsInstaller\Installation (no xml)

Выглядит неплохо, проверяйте проблему.
 
Пофиксил. Видимых проблем больше не наблюдаю. Большое спасибо!
 
Тогда финализируем
 
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

K
  • Закрыта
Решена Проблемы с вирусом-майнером. Как найти решение?
Ответы
10
Просмотры
450
Korut
K
P
Решение проблемы с синим экраном
Ответы
5
Просмотры
3K
puertorikanez
P
AlexZir
Решение уравнений
Ответы
13
Просмотры
677
ChatGPT
ChatGPT
Назад
Сверху Снизу