Закрыто Windows Defender не удаляет PUA:Win32/Presenoker, PUABundler:Win32/uTorrent_BundleInstaller, PUA:Win32/SBYinYing

[N1Tra]

Доброго дня! помогите пожалуйста... случайно заглянул в журнал и увидел, что Windows Defender обнаружил PUA:Win32/Presenoker, PUABundler:Win32/uTorrent_BundleInstaller, PUA:Win32/SBYinYing...они не удаляются! что делать и как быть?)

 

[N1Tra]

RogueKiller Anti-Malware их не видит

 

[regist]

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...

www.safezone.cc

 

[N1Tra]

Прошу прощения, не внимательно прочитал правила оформления запроса о помощи. Вот архив с логами.

 

[Sandor]

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[N1Tra]

Вот отчёты.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3164046312-1778408635-3290769131-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {A0E8B267-67C8-453E-B1A0-033D0373183C} - System32\Tasks\Remove AdwCleaner Application => C:\WINDOWS\system32\CMD.EXE [323584 2023-07-22] (Microsoft Windows -> Microsoft Corporation) -> /C DEL /F /Q "C:\Users\nik-t\OneDrive\Рабочий стол\adwcleaner_8.4.0.exe"
  CHR HKU\S-1-5-21-3164046312-1778408635-3290769131-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AlternateDataStreams: C:\Users\nik-t\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\nik-t\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{E4706477-FA9D-460B-AAD6-6D6611DB0A04}] => (Allow) LPort=27015
  FirewallRules: [{D346C450-31F0-49E1-A06A-03828B5AF896}] => (Allow) LPort=27015
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[N1Tra]

Готово!

 

[Sandor]

Что сейчас с проблемой?

 

[N1Tra]

Сканирование ничего не выявило.. в журнале windows defender ничего не поменялось ( пишет что не удалось удалить вредоносную программу ). Кроме RogueKiller Anti-Malware никакого софта нет.

 

[Sandor]

пишет что не удалось удалить вредоносную программу

Покажите скриншот этого сообщения, пожалуйста.

 

[N1Tra]

 

[N1Tra]

Стоит дата 04.09.2023 но вчера я проверку не запускал. Может посоветуете какую то утилиту, чтоб проверить)

 

[Sandor]

А что это за приложение понять можно? А то на скриншоте не видно.
Кстати, RogueKiller version 15.9.0.0 можете деинсталлировать как бесполезную.

 

[Sandor]

Стоит дата 04.09.2023

Нет, там еще 19 августа 2023 есть дата.

 

[N1Tra]

А что это за приложение понять можно? А то на скриншоте не видно.
Кстати, RogueKiller version 15.9.0.0 можете деинсталлировать как бесполезную.

Да игру скачивали с торрента, которую уже удалили. RogueKiller тоже снесу

 

[N1Tra]

Возможно вирус удалился вместе с приложением)

 

[Sandor]

Да, это скорее всего только запись в журнале.
Выполните ещё такой фикс:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  startpowershell:
  set-mppreference -ScanPurgeItemsAfterDelay 2 -force
  get-mpthreat
  get-mpthreatdetection
  get-mpcomputerstatus
  get-mppreference
  endpowershell:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[N1Tra]

готово!

 

[Sandor]

Хорошо, теперь понаблюдайте. Через два дня старые записи обнаружения должны пропасть.