AV block remover (AVbr) v.4

Спойлер: For English-speaking users

AV block remover or shorter AVbr - is a tool intended to remove the specific miner blocking the installation of various AV software, preventing the access to AV sites and forums of curing. This tool could be used in other cases with a similar anti-viruses restriction.
This specific miner has the following symptoms: virus blocks the opportunity to download anti-viruses, blocks the sites, closes Task manager and gpedit.msc, closes the sites when you try to find or download the CureIt and other AV tools; installed anti-virus are "missing".
By the way, except of the mining and AV blocking, this virus also sets up the RMS. So your data also could be stolen.
Using:
1. Download and extract the archive in any convenient place.
2. After extracting, you shall temporarily turn off the anti-virus (if you have one) and turn off the Windows Defender. If you are afraid that turning off the anti-virus can cause getting more viruses, temporarily turn off the Internet connection instead.
3. Run AVbr.exe.
4. If running AVbr.exe cause error or don't start at all you have to rename it to any name and try to run from the different place (you can rename its folder as well).
5. If it is still not run or closing shortly after the start, please run it in Safe Mode with Networking.
While processing, AVbr will create a folder named ..\AV_block_remover next to it, which includes:

• AV_block_remove_date-time.log - tool's performance report.
• quarantine.zip - standard AVZ archive with a quarantine of deleted files.
• Backup - folder with a backup of some settings having possibly changed while curing.

Tool deletes the miner and its derivatives and restore (or delete) changes made by miner. Here is a brief list of basic functions:

• Removes prohibition of anti-virus installation. It also deletes anti-virus folders if they're empty and if not, it rebuilds the standard access permissions of such folders.
• Restores the "Microsoft Software Shadow Copy Provider" service.
• Restores Windows Defender settings which were changed by miner.
• Deletes Firewall rules added by miner.
• Deletes hidden account "John" which created by a virus (depends on user choice).
• Tool will create Hosts file if it doesn't exist. Tool will reset Hosts file to default or open it for manually edit (by user choice) if the Hosts file exists and doesn't pass the validation (was changed).

AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антивирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.
Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.
Для использования утилиты необходимо:
1. Скачать утилиту и распаковать её в любое удобное для вас место.
2. После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
3. Запустить файл AVbr.exe
4. Если утилита не запускается или выдаёт ошибку, то переименовать её в любое другое имя и попробовать запустить с другого места (например, переименовать и папку, из которой её запускаете).
5. Если утилита всё равно не запускается или закрывается во время работы, то запустить из безопасного режима с поддержкой сети. В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:

• AV_block_remove_дата-время.log - лог работы утилиты.
• quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
• Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные и восстанавливает/удаляет изменения, внесённые им. Краткий список основных функций:

• Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
• Восстанавливает службу "Программный поставщик теневого копирования (Microsoft)".
• Восстанавливает настройки Windows Defender, изменённые майнером.
• Удаляет правила файрволла, созданные майнером.
• Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
• Если файл Hosts отсутствует, то создаёт. Если существует и не прошёл проверку (изменён), то в зависимости от выбора пользователя сбрасывает к состоянию по умолчанию или открывает его для редактирования вручную.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере. Так как этот майнер блокирует доступ к сайтам и форумам, где могут помочь с его удалением, то приветствуется перезаливка этой утилиты на другие сайты и разные ФО с целью предоставления возможности скачивания пользователем, который не может это сделать сам. Только следует учитывать, что так как майнер регулярно обновляется, то обновляется и скрипт лечения в этой утилите, а также обновляется и сама утилита AVZ. По этой причине у утилиты есть "срок действия". После истечения определённого кол-ва дней со дня скачивания утилита попросит скачать свежую версию.----------------------------------------------

----------------------------------------------
Примечание: Windows XP не поддерживается ни этим майнером, ни этой утилитой.
Для проверки MD5 файлов | To check MD5 files:
MD5 AVbr.exe
MD5 AVbr.zip

Скачать утилиту
А здесь прямая ссылка на скачивание .exe файла со случайным именем.
Резервное зеркало, если остальные не работают (обновляется по требованию)