Решена Не могу удалить папку tektonit из реестра

Переводчик Google
Nikita_228

Nikita_228

Новый пользователь
Сообщения
7
Реакции
0
Видел подобные темы но там сикидывали скрипты индивидуально под каждого, хелп пж
 
выполнил

Написано создать отдельную тему
 

Вложения

Последнее редактирование:
Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HP\HP Print Scan Doctor (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NCH Software (empty)
O22 - Tasks: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks_Migrated: sofia gerz - C:\Windows\System32\cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sofia gerz /t REG_SZ /d "cmd.exe /c start vvv.dongdonger.org" /f (sign: 'Microsoft')


Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
File: C:\Users\sofia gerz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\open_connection.bat
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1159753411-3607317758-4273323529-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cmkiidpogbdgkihmcddabkadkakpapme]
CHR HKU\S-1-5-21-1159753411-3607317758-4273323529-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
C:\Users\sofia gerz\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd
S4 CsaMspSvc_0c0aa7; C:\WINDOWS\SysWOW64\csamsp.dll [X]
2025-04-30 05:54 - 2025-04-30 05:54 - 000000016 _____ C:\ProgramData\rtpeskt
2025-04-30 05:54 - 2025-04-30 05:54 - 000000012 _____ C:\ProgramData\ygwpujab.vxl
2025-04-30 05:54 - 2025-04-30 05:54 - 000000012 _____ C:\ProgramData\guaoxfgv.mxw
2025-04-30 05:54 - 2025-04-30 05:54 - 000000008 _____ C:\ProgramData\sblcloly.sqw
2025-04-30 05:54 - 2025-04-30 05:54 - 000000008 _____ C:\ProgramData\bgdcbjgp.cyj
2025-04-08 15:56 - 2025-04-08 15:56 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2025-03-13 15:54 - 2025-03-13 15:54 - 000012515 _____ C:\Users\sofia gerz\ex-list2.json
2025-03-13 15:54 - 2025-03-13 15:54 - 000000383 _____ C:\Users\sofia gerz\bs-list.json
2025-03-13 15:54 - 2025-03-13 15:54 - 000000167 _____ C:\Users\sofia gerz\e-user.json
2025-03-13 15:54 - 2025-03-13 15:54 - 000000103 _____ C:\Users\sofia gerz\e-country.json
2025-03-13 15:54 - 2025-03-13 15:54 - 000000000 ____D C:\ProgramData\BNvvjHjtBRLJHpb
2025-03-13 15:53 - 2025-03-13 15:53 - 000000000 ____D C:\Users\sofia gerz\AppData\Local\highstone-updater
2025-03-13 15:53 - 2025-03-13 15:53 - 000000000 ____D C:\ProgramData\playerFolder
Algo Extension 1.0.0.0 (HKU\S-1-5-21-1159753411-3607317758-4273323529-1000\...\{56919790-a623-4df9-a2af-288689d90bed}) (Version: 1.0.0.0 - Algo Extension) Hidden
discourse settle 4.6.53.873 (HKLM-x32\...\{398630cf-78e4-464c-88ea-8c6fae61d5e4}) (Version: 4.6.53.873 - Levy SARL et Fils) Hidden
Rapid Tag Amplifier 4.7.4.729 (HKLM-x32\...\{aa3f19eb-1043-4204-9eff-165e8f12a786}) (Version: 4.7.4.729 - Gestora Marroquín y Flia. e Hijos) Hidden
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
endbatch:
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.


Деинсталлируйте следующие программы:

360 Extreme Browser
Algo Extension 1.0.0.0
discourse settle 4.6.53.873
Rapid Tag Amplifier 4.7.4.729
uTorrent v3.6.0.47162
Нажмите для раскрытия...

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).


Запустите FRST.exe (FRST64.exe), в поле Искать (Search) введите
tektonit
Нажмите для раскрытия...
нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.
 
Последнее редактирование:
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
DeleteKey: HKEY_USERS\S-1-5-21-1159753411-3607317758-4273323529-1000\Software\tektonit
DeleteValue: HKEY_USERS\S-1-5-21-1159753411-3607317758-4273323529-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit|LastKey
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Файл вида C:\Users\sofia gerz\Desktop\01.05.2025_19.40.34.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru ссылку отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @).
 
отправил на почту, спасибо всё помогло
 
Последнее редактирование:
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Обновляйте:

Notepad++ (64-bit x64) v.8.7.9 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9003 Внимание! Скачать обновления
Java 8 Update 441 (64-bit) v.8.0.4410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
Adobe Creative Cloud v.6.4.0.361 Внимание! Скачать обновления
Yandex v.25.2.6.725 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.135.0.7049.116 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

+++

Severnyj

Тема 'Рекомендации после удаления вредоносного ПО'

  1. Удалите инструменты, которые были использованы во время лечения:​

  2. Создайте новую точку восстановления и удалите старые точки.​

    1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    2. Нажмите Пуск - Программы – Стандартные –...
  • Like
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу