Решена Не получается удалить HKCU:tektonit

[FoXoDoX]

MinerSearch не может получить доступ к реестру для удаления tektonit, пробовал сам в реестре покопаться - пишет, что мне тоже не хватает прав для удаления. Kaspersky вообще его не видит. Своими силами обычного пользователя не смог удалить, помогите, пожалуйста) Лог из MinerSearch прикрепляю.

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Запустите frst64.exe, в поле Искать (Search) введите

tektonit

нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

 

[FoXoDoX]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Запустите frst64.exe, в поле Искать (Search) введите

нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

Всё сделал, как вы сказали. Результаты сканирований прикрепляю.

 

[akok]

Завершите штатно работу sql, перезагрузка будет жесткой.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {78EEE3D3-EBDD-4F61-B881-2865526B6B80} - System32\Tasks\NIUpdateServiceCheckTask => C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe  -c -task (Нет файла)
  Task: {5C65063E-F06C-446C-9DE9-9C46C71ADFDD} - System32\Tasks\NIUpdateServiceStartupTask => C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe  -startupTask (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Edge Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Дмитрий\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2024-10-19] [UpdateUrl:hxxps://clients91.google.com/service/update2/crx] <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2025-04-20] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2025-04-20] <==== ВНИМАНИЕ
  2024-10-18 12:03 C:\ProgramData\RDP Wrapper
  CustomCLSID: HKU\S-1-5-21-3472608933-2361915172-2281997735-1000_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
  Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
  cmd: netsh advfirewall reset
  DeleteValue:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit|LastKey
  DeleteValue: HKEY_USERS\S-1-5-21-3472608933-2361915172-2281997735-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit|LastKey
  DeleteKey: HKEY_USERS\S-1-5-21-3472608933-2361915172-2281997735-1000\Software\tektonit
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[FoXoDoX]

Огромное спасибо! Проверил ещё раз через Miner Search, вроде всё чисто. В реестре злосчастный tektonit тоже отсутствует. Fixlog.txt прикрепляю. Можно в целях интереса узнать, это какой-то майнер или какого-то другого рода вредоносное ПО?

 

[akok]

Отлично, финальные шаги

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

 

[FoXoDoX]

Лог подготовил, FRST удалил с последующей перезагрузкой.

 

[akok]

Исправьте по возможности и удачи

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 5.2.5.158 v.5.2.5.158 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.47.0.2 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.6.2 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.21017 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
GitHub Desktop v.3.3.11 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Python 3.12.3 (64-bit) v.3.12.3150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.96.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9030 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox, версия 2.6.11 v.2.6.11 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^