В работе вредоносное по блокирует запуск приложения
- Автор темы Kris
- Дата начала
Переводчик Google
- Сообщения
- 6,399
- Решения
- 3
- Реакции
- 6,138
Подготовьте логи по правилам: https://safezone.cc/pravila/
- Сообщения
- 6,399
- Решения
- 3
- Реакции
- 6,138
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!
Пофиксите в HJT (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Код:
begin
QuarantineFile('C:\Users\krisk\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '');
DeleteFile('C:\Users\krisk\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '64');
DeleteSchedulerTask('ProtectBrowser');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.К сообщению на форуме прикреплять файл quarantine.zip не нужно!
Пофиксите в HJT (некоторые строки могут отсутствовать):
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies (empty)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
- Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
- Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
- Сообщения
- 6,399
- Решения
- 3
- Реакции
- 6,138
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 GoodbyeDPI; C:\Users\krisk\AppData\Local\ProtectBrowser\gbdpi\goodbyedpi.exe [101888 2024-09-14] () [Файл не подписан]
S3 WinDivert; \??\C:\Users\krisk\AppData\Local\ProtectBrowser\gbdpi\WinDivert64.sys [X]
C:\Users\krisk\AppData\Local\Browserupdphenix
C:\Users\krisk\AppData\Local\ProtectBrowser
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\krisk\AppData\Local\Browserupdphenix"
Remove-MpPreference -ExclusionPath "C:\Users\krisk\AppData\Local\ProtectBrowser"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.