Решена Сложный вирус, что блочит Диспетчер задач и Браузер
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Давайте смотреть
www.safezone.cc
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('Microsoft Framework', 4);
QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
QuarantineFile('C:\Windows\System32\unsecapp.exe', '');
DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
DeleteService('Microsoft Framework');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: VirusTotal: C:\Windows\system32\rfxvmt.dll HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION 2023-04-27 00:52 - 2023-04-27 17:58 - 000000000 __SHD C:\ProgramData\Windows Tasks Service 2023-04-27 00:52 - 2023-04-27 17:58 - 000000000 __SHD C:\ProgramData\ReaItekHD 2023-04-27 00:52 - 2023-04-27 17:58 - 000000000 ___HD C:\Program Files\RDP Wrapper 2023-04-27 00:52 - 2023-04-27 00:53 - 000000000 __SHD C:\ProgramData\WindowsTask 2023-04-27 00:52 - 2023-04-27 00:52 - 000000258 __RSH C:\ProgramData\ntuser.pol 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\WavePad 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\RunDLL 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\RobotDemo 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\PuzzleMedia 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Norton 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\McAfee 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\MB3Install 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Malwarebytes 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\grizzly 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\FingerPrint 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Evernote 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\ESET 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Doctor Web 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\BookManager 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\AVAST Software 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\360safe 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\SpyHunter 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Ravantivirus 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Rainmeter 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Process Lasso 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Malwarebytes 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\ESET 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Enigma Software Group 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\DrWeb 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\COMODO 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Common Files\McAfee 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Common Files\AV 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Cezurity 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\ByteFence 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\Bitdefender Agent 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\AVG 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\AVAST Software 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files\7-Zip 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\Transmission 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\SpyHunter 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\AVG 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\Program Files (x86)\360 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\KVRT2020_Data 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\KVRT_Data 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 __SHD C:\AdwCleaner 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ___HD C:\Users\John 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ____D C:\Windows\speechstracing 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ____D C:\Users\kozak\AppData\Roaming\RMS_settings 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ____D C:\ProgramData\System32 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ____D C:\ProgramData\Avira 2023-04-27 00:52 - 2023-04-27 00:52 - 000000000 ____D C:\Program Files (x86)\IObit 2023-04-27 00:51 - 2023-04-27 00:53 - 000000000 __SHD C:\ProgramData\Setup 2023-04-27 00:51 - 2023-04-27 00:52 - 000000000 __SHD C:\ProgramData\Install John (S-1-5-21-3587011038-2514705015-2773519449-1006 - Administrator - Enabled) AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [2594] FirewallRules: [{1D56369E-15FC-4FA9-A09E-2F370BE842EF}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{D913BF07-2D9E-4D39-972B-2D92CF4B808E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{C7FC6377-2F20-4686-B270-CAEC1FD485B8}] => (Block) LPort=445 FirewallRules: [{D9BED3A1-10E9-4831-BF2B-290F950047C7}] => (Block) LPort=445 FirewallRules: [{731945C7-8156-4A06-9976-881C10E48344}] => (Block) LPort=139 FirewallRules: [{F0B1F6FA-46F8-4ED5-A475-16806D8E4290}] => (Block) LPort=139 FirewallRules: [{F02DA715-D5D1-47BB-8A17-F023B0C8301C}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => No File FirewallRules: [{B281D96B-CF28-4BB1-B1F0-85ECDEFE79F7}] => (Allow) LPort=3389 EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Судя по логу все нужное удалилось. Что сейчас с системой? Можете прогнать еще, чтоб окончательно избавиться от майнера.
www.safezone.cc
AV block remover (AVbr)
AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антивирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях...
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Тогда завершаем.
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Похожие темы
- Закрыта
- Закрыта
