Решена Вирус John, не открывается AVbr даже переименованный

[A1eX72]

1) скрытая учетная запись John, которая видна в окне восстановления
2) Долгая загрузка ОС, повышенный нагрев и обороты куллера
3) Не открываются сайты с антивирусами (По типу ESET, Kaspersky)
4) При установке Malwarebytes Anti-Malware, программа сразу же удаляется после завершения установки.
5) AVbr не открывается ни в каком виде, ни переименованный, не из под безопасного режима (Win 10 x64)

 

[A1eX72]

Логи приложил.
Добавлю что защитник виндовс так же убран из системы.
Производил чистку KVRT (2 угрозы), AdwCleaner'ом (8 угроз). Вирус остался.

 

[akok]

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла


Запустите Autologger и прикрепите новый CollectionLog.

 

[A1eX72]

АвтоЛоггером собирал лог в обычном режиме после работы AV Block remover в безопасном и ребута.

 

[Sandor]

Если не возражаете, продолжу я.
В целом, логи выглядят уже неплохо. Должно полегчать.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[A1eX72]

Сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2752323617-1242341142-1290562178-1001\...\MountPoints2: {cca9a6aa-2c67-11ed-9e52-c01885fc4b11} - "E:\SISetup.exe" 
  CHR StartupUrls: Profile 1 -> "hxxp://rusearch.co"
  Unlock: C:\ProgramData\Malwarebytes
  Unlock: C:\Program Files\Malwarebytes
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[A1eX72]

done
Проблема осталась в том, что система очень долго запускается. После логотипа Windows 10 и крутящегося под ним индикатора загрузки появляется черный экран, который висит в районе 1-2 минут.

 

[Sandor]

Хорошо. Проблема решена?

 

[A1eX72]

Хорошо. Проблема решена?

Частично. Проблема с долгой загрузкой и периодическим полным зависанием всей системы осталась (система перестаёт реагировать на что-либо, даже курсор, на примерно 3-7 секунд)

 

[Sandor]

У вас установлен Malwarebytes.

Запустите полную проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

После этого проверьте есть ли подобные зависания в безопасном режиме?
Результат сообщите.

 

[A1eX72]

У вас установлен Malwarebytes.

Запустите полную проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

После этого проверьте есть ли подобные зависания в безопасном режиме?
Результат сообщите.

Обратил внимание что при черном экране перед загрузкой Локскрина виндовс, загрузка SSD 100%, о чем свидительствует индикатор на корпусе ноутбука. Так же после входа в учетную запись загрузка SSD сохраняется в пределах 100% в районе 1-2 минуты

 

[Sandor]

Кроме utorrent (если им пользуетесь), можно удалить (поместить в карантин) всё найденное.
Но на описанную проблему это никак не влияет.

В безопасном режиме также проявляется?

 

[A1eX72]

Кроме utorrent (если им пользуетесь), можно удалить (поместить в карантин) всё найденное.
Но на описанную проблему это никак не влияет.

В безопасном режиме также проявляется?

Да. Такая же долгая загрузка с черным экраном и горящим индикатором использования винчестера. Фризы системы наблюдаются так же только на первых минутах запуска системы после входа в профиль, когда SSD 100% загрузка.
Проверил SMART и скорости CrystalDiskMark - все в порядке, ссд еще нет и полугода.

 

[Sandor]

Посоветуйтесь ещё в системном разделе форума. Ссылку на эту тему там укажите.
По нашей части будем завершать:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[A1eX72]

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 31.01.2023 18:45:47
Path starting: C:\Users\from-\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: HP
VersionXML: 10.41is-15.01.2023
___________________________________________________________________________

Windows 10(6.3.19044) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 23.08.2022 17:04:22
Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 99567 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [180.2 Гб] Занято: [83.8 Гб] Свободно: [96.4 Гб]
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x64 v.15.0.4420.1017
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.20.230 v.4.5.20.230
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.002.0102.0004 [+]
Яндекс.Диск v.3.2.23.4763
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.5.3
Viber v.18.3.0.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Winamp v.5.666
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20142 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.1.1138 [+]
Google Chrome v.109.0.5414.120 [+]
Microsoft Edge v.109.0.1518.70 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.4.0.0.1410
Malwarebytes Service (MBAMService) - Служба работает
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.1163
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.05 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.2.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

 

[Sandor]

По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО