Решена Уважаемые духи сайта SafeZone

[ShnuR]

Включил в программе Total Commander отображение скрытых и системных файлов, но всё равно не отображает

 

[thyrex]

Загрузитесь в безопасном режиме с поддержкой сети, запустите через Total Commander avbr.exe, дождитесь окончания работы (не нужно пытаться сохранить лог при помощи AVZ) и проверьте содержимое папки AV_block_remover

 

[ShnuR]

Загрузитесь в безопасном режиме с поддержкой сети, запустите через Total Commander avbr.exe, дождитесь окончания работы (не нужно пытаться сохранить лог при помощи AVZ) и проверьте содержимое папки AV_block_remover

У меня только такой вопрос. Я сижу в интеренете через вайфай адаптер, а не через кабель. Его можно будет включить в безопасном режиме?

 

[thyrex]

Вас никто не просит грузить файлы прямо из безопасного режима, суть только в необходимости загрузки в нужном режиме

 

[ShnuR]

Сделал как Вы написали и всё сохранилось и отображалось. Вот что было в созданной папке AV_block_remover. В процессе проверке у меня спросили "удалить ли пользователя John" и спросили ещё что то удалить. Я на всё согласился.

 

[thyrex]

Теперь в обычном режиме запустите Autologger (сохранять тоже не на Рабочий и не в папку Загрузки), дождитесь окончания его работы, прикрепите к следующему сообщению архив CollectionLog и лог работы AVBR.

Продолжение будет уже утром или днем.

 

[ShnuR]

Спасибо Вам большое, что досидели со мной до столь позднего времени!

 

[regist]

Включил в программе Total Commander отображение скрытых и системных файлов, но всё равно не отображает

Возможно глупый вопрос, но вы свой комод перед запуском утилит отключали? И как вы его отключали? Судя по всему он при запуске помещал утилиты в свою песочницу и все логи и т.д. создавались в ней и поэтому вы не могли их найти (и это и есть разгадка таинственных исчезновений файлов).

При всех следующих действий с утилитами обязательно через ПКМ по нему в трее отключайте и его защиту и sandbox в нём.

Профиксите в HijackThis

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\..\Windows\Explorer: [HidePeopleBar] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - BITS Job: (download) {CF37C47E-7850-44C1-B7D6-AEA16A15D42D} - https://download-installer.cdn.mozilla.net/pub/firefox/releases/114.0.1/update/win64/ru/firefox-114.0-114.0.1.partial.mar -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\updates\downloading\update.mar

Свежий лог сканирования AdwCleaner-а покажите.

 

[regist]

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

И у вас установлено три антивируса

360 Total Security [2023/07/04 15:23:40]-->C:\Program Files\360\Total Security\Uninstall.exe
COMODO Internet Security Pro [20230701]-->MsiExec.exe /I{6D506E2A-AB2C-4D1E-A226-AB27BC469B62} 
Malwarebytes version 4.5.31.270 [20230707]-->"C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mb4uns.exe"

В результате наверняка они только конфликтуют с собой и нормально не работают. Оставьте только один.

 

[ShnuR]

Возможно глупый вопрос, но вы свой комод перед запуском утилит отключали? И как вы его отключали? Судя по всему он при запуске помещал утилиты в свою песочницу и все логи и т.д. создавались в ней и поэтому вы не могли их найти (и это и есть разгадка таинственных исчезновений файлов).

При всех следующих действий с утилитами обязательно через ПКМ по нему в трее отключайте и его защиту и sandbox в нём.

Профиксите в HijackThis

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\..\Windows\Explorer: [HidePeopleBar] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - BITS Job: (download) {CF37C47E-7850-44C1-B7D6-AEA16A15D42D} - https://download-installer.cdn.mozilla.net/pub/firefox/releases/114.0.1/update/win64/ru/firefox-114.0-114.0.1.partial.mar -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\updates\downloading\update.mar

Свежий лог сканирования AdwCleaner-а покажите.

На счёт Comodo. У меня не было к нему доступа. То есть он включался, но его .exe файл был мне не доступен, программу удалить я не мог и нигде не отображался, поэтому его не отключал. Когда только это всё произошло я скачивал разные антивирусы и при их скачивании они моментально удалялись, но можно было успеть нажать на сам файл, когда он появлялся, что файл загружен. После этого мне написало ошибку и на этом всё. Я и не думал, что нормально установился(Как и остальные антивирусы). Лог из ADW-cleaner прилагаю. Только у меня не было 22 строки в программе HijackThis. Я перепроверил трижды. (скриншот списка из HijackThis после перезагрузки приложу (не додумался сохранить до перезагрузки))
Лог AVZ загрузил на сайт - MD5 - 1C6CF6721A946F49D04BD4D5B27685B2

 

[regist]

1) Если и сейчас есть проблемы с удалением антивирусов, то тут вот инструкции Чистка системы после некорректного удаления антивируса
2)

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

3) Удалите ранее созданные логи FRST и соберите свежие.

 

[ShnuR]

Антивирусы удалил, AdwCleaner, и раннии логи FRST тоже. Вот новые.

 

[thyrex]

Удалите ранее созданные логи FRST и соберите свежие

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[ShnuR]

Прикрепил нужный архив

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
ShortcutTarget: MxNotify.lnk -> C:\$Recycle.Bin\S-1-5-21-825958653-3978019652-4148986489-1000\MxNotify.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {CE80FB77-4582-4289-973C-867E6D792FA4} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [680352 2023-06-29] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[ShnuR]

Вставлять код никуда не надо? Необычно.

 

[thyrex]

Проблема решена?

 

[ShnuR]

Да, на самом деле проблема решилась ещё когда Вы подсказали запустить утилиту avbr.exe в безопасном режиме через программу total commander. Спасибо Вам большое!

 

[Sandor]

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[ShnuR]

Скопировал как Вы написали (uninstall.exe) и полностью вставил в название и программа запускается как обычно, а если не трогать .exe в конце и изменить всё перед точкой, то программа удалилась.
Лог прикрепляю.