Решена Вирус на windows 11

[Nosach]

Всем привет, несколько месяцев назад купил новый ноут, предустановлена была 11 винда, лицензия.
Несколько дней назад начал замечать странные вещи: В простое кулеры стали сильно гудеть, как под нагрузкой, начал разбираться. Сразу скажу, что я не совсем валенок в компах, просто никогда вирусы не ловил
Заходя в диспечер задач нагрузка с 40% процентов, падает до привычных 1-2%, через пару минут диспечер задач закрывается, и процессор нагружается до 40% (отследил через встроенную утилиту на ноуте)
Сразу решил скачать касперского и проверить что с компом. Касперский не установился не при каких манипуляциях, через безопасный режим установил доктор веб, прогнал чистку ноута, он нашел и удалил 10 вредоностных файлов, но основая проблема не решилась. Но доктор веб показал где находится этот файл, на диске с, в папке программ дата, заходя в нее, ноут сам моментально закрывает эту папку, на некоторые сайты с анти вирусами тоже не пускает, просто сайты не прогружаются, а когда открыл через телеграм этот сайт, сразу закрылся весь хром. Каждые 5 сек от доктора веба приходит уведомление что заблокирована работа приложения, скриншот приложу ниже
Дамы и господа, помогите разобраться и выселить эту заразу с моего любимого ноута

Характеристики следующие:
i7-12700h
RTX 3070
16 gb ddr4 3200
m2 ssd 512 gb

 

[Sandor]

Здравствуйте!

Начните с логов по правилам раздела:
Правила оформления запроса о помощи
Не получится в нормальном, собирайте в безопасном режиме.

 

[Nosach]

Здравствуйте!

Начните с логов по правилам раздела:
Правила оформления запроса о помощи
Не получится в нормальном, собирайте в безопасном режиме.

Надеюсь всё правильно сделал

 

[Sandor]

Правильно, только переименовывать архив не нужно, если об этом в инструкции ничего не сказано.
И, пожалуйста, отвечайте в нижнем поле быстрого ответа. Не нужно полностью цитировать предыдущее сообщение.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Nosach]

Автологер запустился без безопасного режима, на сайт зашел через ноутбк

 

[Sandor]

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Это забыли.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Nosach]

Прикрепляю файлы

 

[thyrex]

Дубль 2: Вас просили прикрепить еще лог работы AV block remover

 

[Nosach]

Запусти программу еще раз, поскольку прошлый отчет был случайно удален

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  2023-05-29 04:50 - 2023-05-29 04:50 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-29 04:50 - 2023-05-29 04:50 - 000000000 __SHD C:\Program Files\RogueKiller
  FirewallRules: [{E2840A2D-9C33-4694-98B4-C997823D0A37}] => (Allow) C:\Users\dmitr\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{59EBEFB9-523B-4D5F-AEA0-AFF106972145}] => (Allow) C:\Users\dmitr\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{46E3BD5A-32BA-410F-8D0B-5C50F8F1F481}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{E06D14A5-BEBA-4580-B890-CF2C5C59A216}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{DCB21F48-F635-4D32-BADC-5C337DD93BA7}] => (Block) LPort=445
  FirewallRules: [{9E2AEC1D-F5C2-494D-95A7-256643E5E4E8}] => (Block) LPort=445
  FirewallRules: [{8D60307A-B5A4-4B1C-AEE1-6174E3EAE219}] => (Block) LPort=139
  FirewallRules: [{2A5FEA63-8D3D-45AA-9E02-76F7C2584456}] => (Block) LPort=139
  FirewallRules: [{0E3DF18A-3212-45B7-ABC8-918562E1BE76}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{F795D61A-85ED-455F-8531-2FADBCD19A21}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Nosach]

Файл создан не был, выходит вот это сообщение

 

[Sandor]

Действуйте строго по инструкции:

• выделить код (удобно по нажатию на кнопку Copy в верхнем правом углу скрипта)
• скопировать (правой кнопкой - Копировать)
• запустить файл FRST64.exe
• нажать кнопку "Исправить"

Скрипт будет выполнен из буфера обмена.

 

[Sandor]

@Nosach, получилось выполнить скрипт?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
@Nosach, в системе остались уязвимые места, отсюда повторение заражения не за горами.