Решена Не могу удалить HKCU:tektonit

Переводчик Google
R

raskiri

Новый пользователь
Сообщения
4
Реакции
0
Здравствуйте. Занесла себе на компьютер майнер и весь вечер пытаюсь его удалить. MinerSearch пишет, что остался только HKCU:tektonit, но удалить он его не может (скрин прилагаю).
Поискав на форуме нашла ветки с такой же проблемой и попыталась подстроить советы под себя, но не получилось. Farbar Recovery Scan Tool уже скачала и все поиски провела. Отчеты прикрепляю. Подскажите пожалуйста, какие шаги следующие.
 

Вложения

  • SearchReg.txt
    SearchReg.txt
    403 байт · Просмотры: 5
  • FRST.txt
    FRST.txt
    74.8 KB · Просмотры: 5
  • Addition.txt
    Addition.txt
    148 KB · Просмотры: 5
  • MinerSearch.webp.webp
    MinerSearch.webp.webp
    29.5 KB · Просмотры: 12
Здравствуйте!

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Avast Secure Browser
Нажмите для раскрытия...

2. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-868203072-465459243-2922284378-1001\...\Run: [MediaGet2] => C:\Users\79114\MediaGet2\mediaget.exe --minimized (Нет файла)
HKU\S-1-5-21-868203072-465459243-2922284378-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {D0D69554-48A3-4E7D-95C9-B89E228C586B} - System32\Tasks\Avast Secure Browser Heartbeat Task (Hourly) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [3818024 2025-04-10] (Avast Software s.r.o. -> Gen Digital Inc.)
Task: {F828D1BD-120F-4794-B040-77F15F897A4C} - System32\Tasks\Avast Secure Browser Heartbeat Task (Logon) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [3818024 2025-04-10] (Avast Software s.r.o. -> Gen Digital Inc.)
Task: {0A2D2D58-B4A4-4480-A302-50F4172A27C9} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [191120 2022-12-13] (Avast Software s.r.o. -> AVAST Software)
Task: {E331B2C6-C9C7-4839-B433-D37433F11657} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [191120 2022-12-13] (Avast Software s.r.o. -> AVAST Software)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\79114\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\79114\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\khflaofpanjfdfkgglalicnelkgjnjef
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocpngelafhpaapgfbcobfpappmpifenm
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Default\Extensions\onbkopaoemachfglhlpomhbpofepfpom
CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Guest Profile -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\khflaofpanjfdfkgglalicnelkgjnjef
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ocpngelafhpaapgfbcobfpappmpifenm
CHR HomePage: Profile 2 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 2 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 4 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 4 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Profile 4 -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 5 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 5 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Profile 5 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 5 -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 7 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 7 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Profile 7 -> cdn
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> xfinder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\79114\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\79114\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKU\S-1-5-21-868203072-465459243-2922284378-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fgflndiedodffhcdiopjphegdlofpgoc]
CHR HKU\S-1-5-21-868203072-465459243-2922284378-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [191120 2022-12-13] (Avast Software s.r.o. -> AVAST Software)
S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [191120 2022-12-13] (Avast Software s.r.o. -> AVAST Software)
S3 AvastSecureBrowserElevationService; C:\Program Files (x86)\AVAST Software\Browser\Application\134.0.29548.179\elevation_service.exe [2580000 2025-04-10] (Avast Software s.r.o. -> Gen Digital Inc.)
2025-04-30 00:52 - 2025-04-30 00:52 - 000000000 ____D C:\ProgramData\PDJxffHHBXNTxhp
2025-04-12 15:40 - 2025-04-30 02:36 - 000000000 ____D C:\ProgramData\XThUeAnPtjHvTaVB
Folder: C:\rdp
2021-05-14 20:44 C:\ProgramData\Indus
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.8.1065.0 - AVAST Software) Hidden
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
DeleteKey: HKEY_USERS\S-1-5-21-868203072-465459243-2922284378-1001\SOFTWARE\tektonit
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появится скрытая ранее
Avast Update Helper
Нажмите для раскрытия...
Удалите.
 
Все шаги проделала, появившийся в перечне установленных программ Avast Update Helper удалила. Вот лог-файл Fixlog.txt.
MinerSearch теперь чист. Спасибо!
 

Вложения

Хорошо. Ещё один скрипт выполните, пожалуйста:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
2025-04-30 02:55 - 2021-05-14 20:44 - 000000000 __SHD C:\rdp
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
endbatch:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Отлично. Если проблем больше нет, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Большое спасибо!
Вот лог-файл от SecurityCheck.
 

Вложения

Исправьте по возможности:

PuTTY release 0.76 (64-bit) v.0.76.0.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.77.3 Внимание! Скачать обновления
Python 3.7.8 (64-bit) v.3.7.8150.0 Внимание! Скачать обновления
AnyDesk v.ad 9.0.6 Внимание! Скачать обновления
FileZilla 3.60.2 v.3.60.2 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.1.4 Внимание! Скачать обновления
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
Discord v.0.0.309 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
µTorrent v.3.6.0.47168 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 261 v.8.0.2610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-i586.exe - Windows Offline)^
Adobe Acrobat (64-bit) v.25.001.20435 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Читайте Правила оформления запроса о помощи
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу