Решена вирус отключает "защиту от вирусов"

[1mb4]

Добрый день!
Прошу помочь с удалением вируса, раннее (около месяца назад) поймал БТК майнер, он не давал установить антивирус, менял адрес биткоина и майнил с моего компа (была просадка ФПС в играх), своими силами смог победить его, но видимо это не конец. Пару дней назад заметил что "Защитник Шиндовс" выключен, указано "Служба работы с угрозами остановлена. Перезапустите ее", при нажатии "перезапустить" включается, но опять через какое то время выключается.
Защитник нашел вирус - VirTool:Win32/DefenderTamperingRestore, нажал удалить, но он конечно так просто не удалился)
Не знаю насколько опасен этот вирус, но хочется чистый комп, без всякой заразы, очень благодарен за помощь в решении вопроса, стандартный антивирус ничего не нашел при полной проверке.

 

[1mb4]

возможно на компе сидят еще какие то вирусы, помимо этого
Помогите, пожалуйста, почистить его от всех

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи.
Нужный архив прикрепите к следующему сообщению в текущей теме.

 

[1mb4]

Прикрепляю

 

[Sandor]

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[1mb4]

готово

 

[1mb4]

антивирус он опять мне выключил

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {3A7ACC18-6F4B-4258-B72C-80529FA17212} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {6DE78182-59F3-4435-968B-489308A930B0} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {A6D5721D-9C80-4D6B-94BE-27EBE13BFED3} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {EB888D3C-55C6-4AB8-A0E8-C4FC79D1431D} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  ContextMenuHandlers1_S-1-5-21-4051196029-3347874616-3046436787-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} =>  -> Нет файла
  ContextMenuHandlers4_S-1-5-21-4051196029-3347874616-3046436787-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} =>  -> Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  StartPowerShell:
  # Function to manage Windows Defender, remove exclusions, run scan, report on status
    Function Manage-WindowsDefender {
      Get-MpComputerStatus
      echo "Listing of exclusions"
      Get-MpPreference | Select-Object -Expand ExclusionPath  | Out-String -width 4096
      $Paths=(Get-MpPreference).ExclusionPath
      $Extensions=(Get-MpPreference).ExclusionExtension
      $Processes=(Get-MpPreference).ExclusionProcess
      foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -Force}
      foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -Force}
      foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -Force}
      Set-MpPreference -DisableAutoExclusions $true -Force
      Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
      Set-MpPreference -DisableArchiveScanning $false -Force
      Set-MpPreference -DisableBehaviorMonitoring $false -Force
      Set-MpPreference -DisableEmailScanning $False -Force
      Set-MpPreference -DisableIOAVProtection $false -Force
      Set-MpPreference -DisablePrivacyMode $true -Force
      Set-MpPreference -DisableRealtimeMonitoring $false -Force
      Set-MpPreference -MAPSReporting Advanced -Force
      Set-MpPreference -PUAProtection enabled -Force
      Set-MpPreference -SignatureScheduleDay Everyday -Force
      Set-MpPreference -DisableRemovableDriveScanning $false -Force
      Set-MpPreference -SubmitSamplesConsent SendSafeSamples
      # Reset and check Secure Health status
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
      # Check if these services are running
      Get-Service Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, WdNisSvc | Select Name,DisplayName, Status
        # Check for signature updates
        Update-MpSignature
        Start-MpScan -ScanType QuickScan
        Remove-MpThreat
      # Check computer status again after setting to make sure changes were applied
      Get-MpComputerStatus
      Get-MpPreference
      Get-MpThreatDetection
    }
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Скрипт может выполняться долго, дождитесь окончания.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[1mb4]

готово

 

[Sandor]

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[1mb4]

Добрый день!
прикладываю

 

[Sandor]

Хорошо. Делаем ещё такую проверку:

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от мощности процессора, скорости дисков, объёма файлов и т.п.). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

 

[1mb4]

сейчас сделаю, так же вчера проверял через ESET online scanner (полную проверку) он ничего не нашел

 

[1mb4]

готово

 

[1mb4]

написал что вирусов не обнаружено и тд, но антивирус опять выключен

 

[Sandor]

указано "Служба работы с угрозами остановлена. Перезапустите ее", при нажатии "перезапустить" включается, но опять через какое то время выключается.

Это по-прежнему сохраняется?

 

[1mb4]

да, вот сейчас опять перезапустил

 

[Sandor]

Пробуем так:
Скачайте вложенный архив, распакуйте и запустите.
Согласитесь с внесением изменений в реестр и перезагрузите компьютер.
Проверьте и сообщите результат.

 

[1mb4]

сделал, перезагрузился, сейчас включена защита антивируса, буду мониторить, если отключится - сообщу, если нет - то тоже сообщу) спасибо!

 

[1mb4]

опять отключился(