Решена ПК заражен

[Derry]

Здравствуйте, купил старенький ноут для работы и на нем уже стояла win10. После покупки и использования в рабочих задачах стал замечать не совсем адекватное поведение, папка Downloads и Program Data сами закрывались, проводник перезагружался, браузеры закрывались при попытке скачать Cureit но я скачал его и запустил. Лог и скриншот с результатами прикрепляю.
Вероятно, что все эти объекты уже были в ОС при покупке. Помогите пожалуйста, это моя единственная рабочая машина на сегодняшний день.
Также уже скачан AV Block Remover но я пока его не запускал, боюсь сломать винду, а флешки с бекапом у меня нет и винда не дает создать точку восстановления, хотя я выполнял проверку диска на ошибки и прочее по гайдам.

 

[Derry]

P.S В папке Program Data появилась папка Avira, открыть которую или удалить не давали права доступа, но я изменил разрешение групповой политики текущего пользователя и снёс ее через Shift+Del

 

[Derry]

Автологгер

 

[Severnyj]

Скачайте AV block remover или с зеркала.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[Derry]

Скачайте AV block remover или с зеркала.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[Severnyj]

Пофиксите в HJT (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[Derry]

Пофиксите в HJT (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[akok]

Ваше?
CHR Extension: (Обход блокировок Рунета) - C:\Users\hp\Documents\runet-censorship-bypass-0.0.1.63-full-rc0 [2025-07-20] [UpdateUrl:0] <==== ВНИМАНИЕ

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  EndPowerShell:
  FirewallRules: [{A5E3C446-4141-48EF-875B-B214E4C18941}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{4FDF65A2-919A-4CD8-B4C9-EC57CB3D450D}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{0D2423AC-4D0D-42BC-ABF8-55F81C9182BE}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{DCBF0314-987B-4E2C-8BDD-F990CE895238}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Потом проверяйте, симптом майнера пропали?

 

[Derry]

Ваше?
CHR Extension: (Обход блокировок Рунета) - C:\Users\hp\Documents\runet-censorship-bypass-0.0.1.63-full-rc0 [2025-07-20] [UpdateUrl:0] <==== ВНИМАНИЕ

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  EndPowerShell:
  FirewallRules: [{A5E3C446-4141-48EF-875B-B214E4C18941}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{4FDF65A2-919A-4CD8-B4C9-EC57CB3D450D}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{0D2423AC-4D0D-42BC-ABF8-55F81C9182BE}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{DCBF0314-987B-4E2C-8BDD-F990CE895238}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Потом проверяйте, симптом майнера пропали?

Да, расширение я установил собственноручно, с гитхаба. Предполагаю, что от него стоит избавиться?..
Симптомы майнера действительно пропали, раньше проц всегда бы загружен под 100% даже в простое, сейчас пикрил

 

[akok]

Смотря откуда качали, пришлите ссылку в личные сообщения, посмотрю. А пока
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

 

[Derry]

Смотря откуда качали, пришлите ссылку в личные сообщения, посмотрю. А пока
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

С иконками на рабочем столе произошло нечто страшное, полагаю это произошло потому, что я убирал с них стрелочки и щит еще до всех произведенных манипуляций тут.

P.S Черные квадраты удалось победить самостоятельно

 

[akok]

Сбросить кеш иконок, это по черным квадратам, в остальном нужно искать

Очистка (сброс) поврежденного кэша иконок в Windows 10 | Windows для системных администраторов

Как быстро очистить и восстановить поврежденный файлы с кэшем иконок Windows 10

winitpro.ru

исправьте по возможности и удачи
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.63.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 25.00 (x64) v.25.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
XnView v.2.52.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!
-------------------------------- [ Media ] --------------------------------
Light Alloy 4.11.2 (build 3340) v.4.11.2 (build 3340) Данная программа больше не поддерживается разработчиком.