Решена Не могу удалить HKCU/tektonit

[badtot]

Здравствуйте. Никак не волновал меня мой компьютер, но чисто из интереса решил проверить его minersearch'ем. Обнаружил папку в реестре \HKEY_CURRENT_USER\SOFTWARE\tektonit в котоую не зайти, не удалить, ничего не сделать. Подскажите пожалуйста, можно ли с этим что то сделать. Логи прикрепляю

 

[Severnyj]

Скачайте AV block remover.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.

Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[badtot]

Все сделал как вы сказали

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

++

Запустите frst64.exe, в поле Искать (Search) введите

tektonit

нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

 

[badtot]

Все сделал

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> xfinder.pro
  Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
  CHR HKU\S-1-5-21-1604759540-768363853-159775916-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
  S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
  2024-10-12 09:00 C:\ProgramData\RDP Wrapper
  cmd: netsh advfirewall reset
  DeleteKey: HKEY_USERS\S-1-5-21-1604759540-768363853-159775916-1001\SOFTWARE\tektonit
  DeleteValue: HKEY_USERS\S-1-5-21-1604759540-768363853-159775916-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit|LastKey
  DeleteValue: HKEY_USERS\S-1-5-21-1604759540-768363853-159775916-1001\SOFTWARE\Microsoft\Notepad|searchString
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

В логе вижу, что были проблемы с MinerSearch, можно уточник какие и на каком этапе сканирования они были?

 

[badtot]

Да если честно, не заметил каких либо проблем с MinerSearch, после проверки высветилось окно об обнаруженных потенциально вредных программах, какие то были подписаны "удалено", одна горела красным с подписью "ошибка". Это как раз и был файл реестра tektonit. Затем MinerSearch попросил перезагрузить компьютер и провести проверку еще раз. Что я и сделал, снова был обнаружен tektonit с подписью "ошибка" ну и потом я написал уже сюда. Вот весь алгоритм действий

 

[akok]

Понятно, судя по логу записи о tektonit успешно удалили, проверьте, пожалуйста.

 

[badtot]

Да, проверил еще раз MinerSearch, действительно никаких угроз не обнаружено. Спасибо Вам большое. Очень классно и оперативно

 

[akok]

Удачи.