Решена В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Удалить не получается

Статус
В этой теме нельзя размещать новые ответы.

Mongol

Новый пользователь
Сообщения
8
Реакции
0
Обнаружил в папке programdata папки indus, avira, mb3install и malwarebytes, вычитал, что это связано с майнерами, попытался удалить, но в праве доступа отказано, из антивирусов стоит только безопасность windows. Помоги пожалуйста избавиться от этих папок.
 

Вложения

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно запустите Autologger и прикрепите новый CollectionLog.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скрипты выполнил и отправил quaratin согласно форме, но пофиксить в hijackthis не удалось, нет строки, которую нужно фиксить
 
Тогда ждем логи Farbar Recovery Scan Tool
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    FirewallRules: [{B76F6B48-6C64-4081-A18D-0634DDDD9B3E}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{9D4F8D4E-40A6-43C3-8EA8-0D7284677468}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{2490F6C4-CEFE-48EC-8E55-05BFADE6064A}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{2495A885-B006-4C0F-B618-88D3218F01AB}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [TCP Query User{77576E78-A940-4C9C-999B-3D876D080C8D}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [UDP Query User{D645BCD6-CC51-46F9-8ED7-3802CF5D1316}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [{632990B6-148D-44D2-B11C-22A98E447D0A}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
    FirewallRules: [{3A25B74E-9B8B-4FE2-965F-1201FE85B2AF}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
    FirewallRules: [{A9E922C2-6C5E-41C9-AC6F-B621FA82D5B5}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
    FirewallRules: [{8F32D1E9-D4D4-47DB-83C3-B84D14A2D035}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
    FirewallRules: [{F96D26CE-0DF6-4ADF-975C-178705B22434}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
    FirewallRules: [{BD2340B5-DA63-4609-8AA8-2C89178F97EA}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
    FirewallRules: [TCP Query User{BF386943-7B35-446A-A72C-EB672D92758A}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [UDP Query User{F4E9ADB9-B08D-483C-84EA-AA44A6B104CF}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [{803F6EDC-5258-457A-AD85-C7FF7EAD7EC0}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


После проверяйте, что с проблемой.
 
Сделал. Папок нет, работает все в штатном режиме, что в итоге с фиксом в hijackthis делать, раз там не было нужной строки?
 

Вложения

что в итоге с фиксом в hijackthis делать, раз там не было нужной строки?
Ничего не нужно делать. Такое развитие событий учтено в инструкции, запись в реестре удалилась при помощи AVZ

проверяйте, что с проблемой.
?
 
Проблемы ликвидировались, все работает, папок нежелательных нет, спасибо!
 
Тогда завершающие шаги
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки


-----------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Скрипт сбора файлов отправил согласно инструкции, лог SecurityCheck прикрепил
 

Вложения

Исправьте по возможности
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу