Решена Майнер не даёт установить антивирус

sanek

Новый пользователь
Сообщения
8
Реакции
0
Добрый день, недавно заметил что комп при 2-3х минутном бездействии начинает шуметь и греется, что-то начинает грузит видеокарту. Диспетчер задач через минуту сам закрывается, браузер на при нахождении на форумах тоже закрывается, антивирус не ставится - не запускается экзешник из-за недостатка прав. В диспетчере в автозагрузка нашел realtek hd audio который при отключении сам включается, при попытке открыть место расположения диспетчер закрывается. Помогите разобраться что это!!!
 

sanek

Новый пользователь
Сообщения
8
Реакции
0
Не могу сделать логи, программа для их сбора закрывается на этапе когда предупреждает об открытии браузера, открывает его и сразу закрывается
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,329
Реакции
2,683
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите по правилам CollectionLog Автологером в обычном режиме загрузки.
 

sanek

Новый пользователь
Сообщения
8
Реакции
0
Всё что получилось в безопасном режиме, затем в обычном режиме та же проблема что и раньше программа для сбора логов закрывается как только откравыет браузер
 

Вложения

  • AV_block_remove_2023.01.24-07.17.log
    154 байт · Просмотры: 3

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
У вас устаревшая версия AVbr. Нужно скачивать актуальную - залил на облако.
 

sanek

Новый пользователь
Сообщения
8
Реакции
0
Вроде получилось, что дальше?
 

Вложения

  • AV_block_remove_2023.01.24-10.49.log
    7.9 KB · Просмотры: 2
  • CollectionLog-2023.01.24-10.53.zip
    56.5 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Хорошо.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



3. "Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %ProgramFiles%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\120\Tools\PowerShell\Modules\
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

sanek

Новый пользователь
Сообщения
8
Реакции
0
Как-то так
 

Вложения

  • Addition.txt
    47.4 KB · Просмотры: 1
  • FRST.txt
    33.9 KB · Просмотры: 1

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsinsider
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    C:\Users\Sanek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    CHR HKU\S-1-5-21-4132164929-2465154298-170744616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
    2023-01-16 11:28 - 2023-01-24 11:03 - 000000000 ____D C:\Users\Sanek\AppData\Local\Media Get LLC
    FirewallRules: [{2809A088-A2C2-40F1-A119-483ADCA8ECB9}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{05A77D07-7E44-4A87-9656-F0C9E72CBFFF}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{C9299D66-4779-4F81-A332-A3D6A4666E42}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{884B92C6-C58A-4B04-A32D-CC4D9A9E0090}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{3524EBCD-F4BC-4485-A630-38023800DABA}] => (Allow) LPort=8029
    FirewallRules: [{E2DC8FDE-0EC8-490E-B382-6C02E66DBEF4}] => (Allow) LPort=8029
    FirewallRules: [{ED6947B4-067A-476C-BC4B-5975A16DD52F}] => (Allow) LPort=8029
    FirewallRules: [{BD47CAB0-F422-40E7-93FF-A49B7C9B49AB}] => (Allow) LPort=8029
    FirewallRules: [{AD2094D0-621D-496D-A1D9-BFC906E428E4}] => (Allow) LPort=8029
    FirewallRules: [{839AA499-C559-408B-87BC-C32E3B167640}] => (Allow) LPort=8029
    FirewallRules: [{527CF052-D419-4E0E-9B1C-E2BC230C1C0E}] => (Allow) LPort=8029
    FirewallRules: [{98007B18-0D16-4D32-953F-E518F02E3C4A}] => (Allow) LPort=8029
    FirewallRules: [{0C15FDB8-827B-40FB-AA5D-ED623BF3EFDC}] => (Allow) LPort=8029
    FirewallRules: [{F072BF33-F89B-46CE-B908-FABD23EFF370}] => (Allow) LPort=8029
    FirewallRules: [{55EC891F-C0B6-4EA4-B749-8AF20C4FF0BB}] => (Allow) LPort=8029
    FirewallRules: [{46912D75-19D1-4AB6-B0D6-EE36C5044196}] => (Allow) LPort=8029
    FirewallRules: [{CFAA04F0-B31D-4AB9-A6BA-3D25351082B2}] => (Allow) LPort=8029
    FirewallRules: [{1F09E4CD-B695-4DFA-A0D8-82DCCFA249C3}] => (Allow) LPort=8029
    FirewallRules: [{A4D26181-0C38-4BF7-82B8-D55E2D261436}] => (Allow) LPort=8029
    FirewallRules: [{DF1E2C88-52C4-4A41-9D01-7D61DD084DD1}] => (Allow) LPort=8029
    FirewallRules: [{87BEABCB-F62A-4AC1-9E77-F0B0A60864D7}] => (Allow) LPort=8029
    FirewallRules: [{0CC9485B-ED31-4CC9-BBBB-41F844171588}] => (Allow) LPort=8029
    FirewallRules: [{F196080E-008A-49A9-94B1-D005C3ABD967}] => (Allow) C:\Users\Sanek\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{5318DC7B-9FF7-484B-8604-7C14390CAD58}] => (Allow) C:\Users\Sanek\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{6C80E08A-60C4-40C1-812B-233BB8E2912A}] => (Allow) C:\Users\Sanek\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{AB1A57A5-163C-4C4C-ADBA-3A8DAF692CA6}] => (Allow) LPort=8029
    FirewallRules: [{24619B12-CDA0-4F62-B703-D1D4047E3A9C}] => (Allow) LPort=8029
    FirewallRules: [{7BD17EF1-6639-4818-B33B-0DA22714B6D2}] => (Allow) LPort=8029
    FirewallRules: [{E8E0A01C-C155-4D48-B44F-AF7C88DDC24C}] => (Allow) LPort=8029
    FirewallRules: [{87D33849-3D49-4DFA-8CE4-49C6F2C4FA84}] => (Allow) LPort=8029
    FirewallRules: [{30222296-3B2F-4C71-8801-E443E0269FCF}] => (Allow) LPort=8029
    FirewallRules: [{FD0414DF-E7D4-41D3-A592-B9B7F067A536}] => (Allow) LPort=8029
    FirewallRules: [{8BF8A2C7-4888-4D00-8C72-C6B6B4A67D71}] => (Allow) LPort=8029
    FirewallRules: [{D1A7785D-B286-4227-BA33-5BF021167F96}] => (Allow) LPort=8029
    FirewallRules: [{6EA36044-0236-4F76-90B6-666B681EA76D}] => (Allow) LPort=8029
    FirewallRules: [{B47B2A4F-E2D1-4D65-B867-A540D43EA2AF}] => (Allow) LPort=8029
    FirewallRules: [{F38DD8B6-591E-4D82-A202-FD5ED284FA49}] => (Allow) LPort=8029
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,999
Реакции
14,320
Проблема решена?
 

sanek

Новый пользователь
Сообщения
8
Реакции
0
Больше никакой активности не наблюдал. Огромное спасибо за помощь в решении моей проблемы. Можете ли посоветовать какой антивирус установить чтобы избежать в последствии подобных проблем?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,999
Реакции
14,320
Не ставить варез, это основной путь распространения майнера.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Сверху Снизу