• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена закрывается диспетчер задач, не дает установить антивирус, не пускает в gpedit

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
В последнее время заметил что при всех закрытых программах комп сильно шумит, и при открытии диспетчера задач затихает, но он закрывается через какое то время после открытия. Так же, как уже написал в заголовке посылает на 3 веселых буквы при попытке установить антивирус "Операция отменена из-за действующих ограничений на данном компьютере".
 

Вложения

  • CollectionLog-2021.04.06-02.12.zip
    80.9 KB · Просмотры: 7

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1

Вложения

  • CollectionLog-2021.04.06-16.44.zip
    118.9 KB · Просмотры: 7

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\taskscheduler.exe');
 QuarantineFile('c:\programdata\taskscheduler.exe', '');
 DeleteFile('c:\programdata\taskscheduler.exe', '');
 DeleteFile('C:\ProgramData\TaskScheduler.exe', '32');
 DeleteFile('C:\ProgramData\TaskScheduler.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CAssistent', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CAssistent', '64');
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
имя карантина: 2021.04.06_quarantine_62d705ff3e7d1a44f5c27278023f4a28.zip
 

Вложения

  • Addition.txt
    99.9 KB · Просмотры: 5
  • FRST.txt
    59.1 KB · Просмотры: 5

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\...\MountPoints2: {0b6b0171-9933-11ea-a496-f832e4bd6e47} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\...\MountPoints2: {0b6b01b3-9933-11ea-a496-f832e4bd6e47} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\...\MountPoints2: {86c7d0d5-2f1a-11ea-a46f-f832e4bd6e47} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\...\MountPoints2: {92081a71-1372-11ea-a45a-f832e4bd6e47} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\...\MountPoints2: {ac841362-7f5e-11ea-a491-f832e4bd6e47} - "E:\Setup.exe" 
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-681454045-1097401920-3804772288-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-681454045-1097401920-3804772288-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    CHR DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> find-it.pro
    CHR DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Semenchikoff\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    File: C:\ProgramData\lsass2.exe
    2019-12-03 00:32 - 2019-12-03 00:32 - 000000000 _____ () C:\ProgramData\lsass2.exe
    Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [740]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [740]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [740]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [740]
    AlternateDataStreams: C:\Users\Semenchikoff\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Semenchikoff\Application Data:NT2 [740]
    AlternateDataStreams: C:\Users\Semenchikoff\ntuser.ini:NTV [13728]
    AlternateDataStreams: C:\Users\Semenchikoff\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Semenchikoff\AppData\Roaming:NT2 [740]
    FirewallRules: [{E6765EDA-78E9-4246-9123-997EB45F68FB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{C8A41289-C14D-434B-902D-7E488D6CAE7C}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{44F57134-E332-4765-BC39-7F953E1C1FAE}] => (Allow) LPort=9393
    FirewallRules: [{5F30E915-2BB4-4023-96E5-B8D8732BE17A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{FD956269-6C99-4CA4-BB68-17229147E10B}] => (Allow) LPort=9393
    FirewallRules: [{C80F61BD-4B67-4379-83E6-D58D428E837A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{6A064467-AE2D-4F08-9A67-567C19F04A97}] => (Allow) LPort=9494
    FirewallRules: [{01E94EC0-B06D-4E5E-87C1-E2411F6B6A1E}] => (Allow) LPort=9494
    FirewallRules: [{AD14CFC9-1336-4D6D-97FD-FDB153A0F65E}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{5739AED1-8CAA-40A1-BBAD-CE641714085A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{3789C649-D32D-4FEC-87D4-3AE22FE272F3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{F0DAA6F6-2821-4670-B823-A3D49E01B519}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{99E1CA49-287E-41B8-A563-855A05D85380}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{0915F7C8-D838-4085-8F87-9D0EFB8C6B8B}] => (Allow) LPort=9494
    FirewallRules: [{C389780B-71A5-449F-B115-98358BCF781F}] => (Allow) LPort=9393
    FirewallRules: [{44C7F786-3434-4198-950E-C002407205A5}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{54DD340B-F571-4E03-BDF2-2E4E58D11185}] => (Allow) LPort=9494
    FirewallRules: [{ED0A2971-60B0-4C2D-BCA2-C53ACC499A90}] => (Allow) LPort=9393
    Zip: c:\FRST\Quarantine\
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Wondershare Helper Compact 2.6.0
Кнопка "Яндекс" на панели задач
Менеджер браузеров
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
а вот такая вот проблема возникла при удалении менеджера браузеров
 

Вложения

  • 1617810753491.png
    1617810753491.png
    33.6 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
а да, извиняюсь
 

Вложения

  • Fixlog.txt
    14.5 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Лишние исключения, прописанные в Защитнике сможете самостоятельно удалить?
Что сейчас с проблемой?
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Лишние исключения, прописанные в Защитнике сможете самостоятельно удалить?
Что сейчас с проблемой?
не совсем понимаю где искать исключения в Защитнике. Сейчас диспетчер задач не закрывается в gpedit пускает и не закрывает его, антивирус не пробовал ставить
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
антивирус установился, все нормально.

А это все нужно убрать, верно?
 

Вложения

  • 1617884259731.png
    1617884259731.png
    76.9 KB · Просмотры: 7

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Да, всё нужно удалить.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
вот
 

Вложения

  • SecurityCheck.txt
    13.4 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.8.2 (64-bit) v.3.8.2150.0 Внимание! Скачать обновления
TeamViewer v.15.2.2756 Внимание! Скачать обновления
Wireshark 3.2.1 64-bit v.3.2.1 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45857 Внимание! Клиент сети P2P с рекламным модулем!.
BitTorrent Web v.1.1.0 Внимание! Клиент сети P2P с рекламным модулем!.
BitTorrent client Внимание! Клиент сети P2P с рекламным модулем!.
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.2.0.436 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 76.0.1 (x64 ru) v.76.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Последнюю я советовал удалить ещё в сообщении №6. Если стандартно не удаляется, тоже удалите принудительно через Geek Uninstaller

Читайте Рекомендации после удаления вредоносного ПО
 

Krytox

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
программы которыми пользуюсь обновил, wondershare удалил. Спасибо большое
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,754
Реакции
2,321
Баллы
653
Удачи!
 
Сверху Снизу