Решена Не могу понять удалил ли я вирус или нет

Статус
В этой теме нельзя размещать новые ответы.
M

Maorimi

Новый пользователь
Сообщения
9
Реакции
0
Вчера, запустив компьютер, увидел, что всплывается реклама при запуске браузера и какая-то командная строка. Решил скачать антивирус, а все сайты блокировались. Установить свой только Unhack me. Вроде он удалил, но, я попытался скачать Malware Bytes и вот неудача. Сетап запускается, но после загрузки программа сразу удаляется. Не могу понять что не так((
 

Вложения

  • CollectionLog-2023.08.16-11.05.zip
    129.9 KB · Просмотры: 1
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
  • Like
Реакции: akok
Нашёл у меня на компьютере какого пользователя Джон, вроде удалил
 

Вложения

  • CollectionLog-2023.08.16-13.06.zip
    92.3 KB · Просмотры: 1
И вот ещё это
 

Вложения

  • AV_block_remove_2023.08.16-12.52.log
    8.6 KB · Просмотры: 2
Последнее редактирование:
Этот файл
AV_block_remove_2023.08.16-12.49.log
Нажмите для раскрытия...
тоже покажите, пожалуйста.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот:
 

Вложения

  • Addition.txt
    117.8 KB · Просмотры: 1
  • FRST.txt
    75.5 KB · Просмотры: 1
Также сделал новый этот блок ремувер:
Я не понял конкретно одно: Кинуть вам текст с логами или как?
 

Вложения

  • AV_block_remove_2023.08.16-17.18.log
    9 KB · Просмотры: 1
Если да, то:
script ver. 2023.07.30
File name: AVbr.exe
Start-up time: 2023.08.16-17:18:53
Launched from: C:\Users\MGBM\OneDrive\Рабочий стол\AV_block_remover\AV_block_remover\
System: x64 Windows 10 Home
Build number: 19045
AVBr has been run with local Administrator rights.
Elevation of privileges of rights is successful.
System booted up in Normal Mode.
Last update was on: 2023.08.15
Current date is: 2023.08.16
This version is up to date: 2023.08.15
Script running will be continued after 20 seconds.
C:\ProgramData\Malwarebytes\ - Exists
Run an application takeown.exe /f "C:\ProgramData\Malwarebytes\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\ProgramData\Malwarebytes\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\ProgramData\Malwarebytes\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\ProgramData\Malwarebytes\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\Malwarebytes\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\Malwarebytes\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\Malwarebytes\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
C:\ProgramData\McAfee\ - Exists
Run an application takeown.exe /f "C:\ProgramData\McAfee\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\ProgramData\McAfee\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\ProgramData\McAfee\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\ProgramData\McAfee\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\McAfee\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\McAfee\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\ProgramData\McAfee\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
C:\Program Files\7-Zip\ - Exists
Run an application takeown.exe /f "C:\Program Files\7-Zip\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\Program Files\7-Zip\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\Program Files\7-Zip\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\Program Files\7-Zip\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\7-Zip\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\7-Zip\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\7-Zip\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
C:\Program Files\Malwarebytes\ - Exists
Run an application takeown.exe /f "C:\Program Files\Malwarebytes\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\Program Files\Malwarebytes\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\Program Files\Malwarebytes\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\Program Files\Malwarebytes\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Malwarebytes\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Malwarebytes\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Malwarebytes\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
C:\Program Files\Process Hacker 2\ - Exists
Run an application takeown.exe /f "C:\Program Files\Process Hacker 2\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\Program Files\Process Hacker 2\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\Program Files\Process Hacker 2\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\Program Files\Process Hacker 2\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Process Hacker 2\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Process Hacker 2\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\Program Files\Process Hacker 2\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
C:\FRST\ - Exists
Run an application takeown.exe /f "C:\FRST\" /A /r /d y
Exit code = 1
Run an application icacls.exe "C:\FRST\\" /reset /T /C /L
Exit code = 123
Run an application icacls.exe "C:\FRST\" /grant:r *S-1-5-32-545:RX /T /C /L /inheritance:r
Exit code = 0
Run an application icacls.exe "C:\FRST\" /grant:r *S-1-5-32-545:(OI)(CI)RX /T /C /L
Exit code = 0
Run an application icacls.exe "C:\FRST\" /grant:r *S-1-5-32-544:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\FRST\" /grant:r *S-1-5-18:(OI)(CI)F /T /C /L
Exit code = 0
Run an application icacls.exe "C:\FRST\" /grant:r *S-1-5-11:(OI)(CI)F /T /C /L
Exit code = 0
Create SWPRV service:
[SC] CreateService: ошибка: 1073:

Указанная служба уже существует.

Exit code = 1073
[SC] ChangeServiceConfig2: успех
Exit code = 0
PowerShellVersion: 5.1.19041.1
This edition of the system does not have the AppLocker module.
iTamperProtection = 5
Export firewall rules.
ОК.

Exit code = 0
Run an application netsh.exe advfirewall firewall delete rule name=all program="C:\ProgramData\Windows\rutserv.exe"

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name=all program="C:\ProgramData\Windows Tasks Service\winserv.exe"

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name=all program="C:\ProgramData\WindowsTask\AppModule.exe"

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name=all program="C:\ProgramData\WindowsTask\AMD.exe"

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Remote Desktop" protocol=tcp localport=3389

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Block" protocol=tcp localport=139

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Block" protocol=tcp localport=445

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Block" protocol=udp localport=139

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Block" protocol=udp localport=445

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=139

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=445

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=139

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=445

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Run an application netsh.exe advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389

Ни одно правило не соответствует указанным критериям.

Exit code = 1
Hosts file MD5 = "33FDEAE0B6DC040CE65734589723B8ED"
Hosts reset selected.
Registry search of AV blocked signatures.
GRM = 3
Now the computer will be rebooted.
===================================================================================
The following logs were found in folder after previous runs of AVbr:
AV_block_remove_2023.08.16-17.18.log
 
Последнее редактирование модератором:
Нет, я просил лог с другим временем. Ладно, пока не нужно.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {0D8964D7-1C95-4C55-94B3-47C5D8E13D8B} - \System\SystemCheck -> Нет файла <==== ВНИМАНИЕ
Task: {460407E1-8224-461E-AB7A-23DB19899EE6} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
Task: {8B01DDBC-794E-4B01-A6D3-6DA0F811B9DF} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
Task: {AC455FB9-ACF7-4E5F-8F57-E7E3A59C5ABC} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {CEAD8A1F-A6EB-4163-BFA3-F86BE4E5D1EF} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {E093C401-4C5E-4349-9436-ACE07BC9FE1C} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
Task: {EF00C7F1-B9F4-4829-85D2-2631CF9ECEFF} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
FirewallRules: [{80242B91-F611-47C3-9BB3-591B7C457A23}] => (Allow) C:\Program Files (x86)\360\Total Security\360SkinView.exe => Нет файла
FirewallRules: [{78051CE3-08FF-4DB6-8127-CEB5BB225E82}] => (Allow) C:\Program Files (x86)\360\Total Security\360SkinView.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Вот
 

Вложения

  • Fixlog.txt
    7 KB · Просмотры: 1
что симптомами майнера?
 
Тогда финализируем.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Добрый вечер уже и вот. Я скчал др веб и сумел перепроверить. Спасибо вам огромное! Извините за потраченное время.
 
Удачи.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу