Решена В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Удалить не получается

Mongol · 24 Дек 2021

Обнаружил в папке programdata папки indus, avira, mb3install и malwarebytes, вычитал, что это связано с майнерами, попытался удалить, но в праве доступа отказано, из антивирусов стоит только безопасность windows. Помоги пожалуйста избавиться от этих папок.

akok · 24 Дек 2021

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)

Повторно запустите Autologger и прикрепите новый CollectionLog.

Mongol · 24 Дек 2021

Сделал.

akok · 24 Дек 2021

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Mongol · 24 Дек 2021

akok написал(а):
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe',''); DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64'); BC_Activate; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_ImportALL; RebootWindows(true); end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Скрипты выполнил и отправил quaratin согласно форме, но пофиксить в hijackthis не удалось, нет строки, которую нужно фиксить

akok · 24 Дек 2021

Тогда ждем логи Farbar Recovery Scan Tool

Mongol · 24 Дек 2021

akok написал(а):
Тогда ждем логи Farbar Recovery Scan Tool

Вот.

akok · 24 Дек 2021

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B76F6B48-6C64-4081-A18D-0634DDDD9B3E}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{9D4F8D4E-40A6-43C3-8EA8-0D7284677468}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2490F6C4-CEFE-48EC-8E55-05BFADE6064A}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{2495A885-B006-4C0F-B618-88D3218F01AB}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [TCP Query User{77576E78-A940-4C9C-999B-3D876D080C8D}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [UDP Query User{D645BCD6-CC51-46F9-8ED7-3802CF5D1316}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{632990B6-148D-44D2-B11C-22A98E447D0A}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{3A25B74E-9B8B-4FE2-965F-1201FE85B2AF}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{A9E922C2-6C5E-41C9-AC6F-B621FA82D5B5}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{8F32D1E9-D4D4-47DB-83C3-B84D14A2D035}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{F96D26CE-0DF6-4ADF-975C-178705B22434}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{BD2340B5-DA63-4609-8AA8-2C89178F97EA}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [TCP Query User{BF386943-7B35-446A-A72C-EB672D92758A}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{F4E9ADB9-B08D-483C-84EA-AA44A6B104CF}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{803F6EDC-5258-457A-AD85-C7FF7EAD7EC0}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После проверяйте, что с проблемой.

Mongol · 24 Дек 2021

Сделал. Папок нет, работает все в штатном режиме, что в итоге с фиксом в hijackthis делать, раз там не было нужной строки?

akok · 24 Дек 2021

Mongol написал(а):
что в итоге с фиксом в hijackthis делать, раз там не было нужной строки?

Ничего не нужно делать. Такое развитие событий учтено в инструкции, запись в реестре удалилась при помощи AVZ

akok написал(а):
проверяйте, что с проблемой.

?

Mongol · 24 Дек 2021

Проблемы ликвидировались, все работает, папок нежелательных нет, спасибо!

akok · 24 Дек 2021

Тогда завершающие шаги
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

-----------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Mongol · 24 Дек 2021

Скрипт сбора файлов отправил согласно инструкции, лог SecurityCheck прикрепил

akok · 24 Дек 2021

Исправьте по возможности
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Удачи!

Mongol · 24 Дек 2021

Спасибо!)

Решена В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Удалить не получается

Mongol

Новый пользователь

Вложения

akok

Mongol

Новый пользователь

Вложения

akok

Mongol

Новый пользователь

akok

Mongol

Новый пользователь

Вложения

akok

Mongol

Новый пользователь

Вложения

akok

Mongol

Новый пользователь

akok

Mongol

Новый пользователь

Вложения

akok

Mongol

Новый пользователь

Похожие темы