Решена Подхватил дрянь c:\programdata\window stasks service

Jacket

Новый пользователь
Сообщения
20
Реакции
0
Сидел поигрывал в Stay Out как вдруг у меня начинает мерцать экран и перестает работать AMD панель. Я думаю может глюк, давай переустанавливать драйвера. Пробовал разные под свою видеокарту, но панелька так и не открывалась. А потом в диспетчере задач я увидел процес Windows.exe
Решил глянуть расположение файла, хоб. Диспетчер задач и проводник резко закрылись. Решил что вирус и начал гуглить антивирусы, но и тут облом т.к он сразу же закрывал браузер и запрещал открывать определенные программы, включая автологера.
Пришлось лезть в реестр и вручную удалять запреты на установку определенных файлов (Большая часть были антивирусами)
Так же почистил файл Hosts дабы зайти на ваш сайт, ибо и его он тоже блочил.
Надеюсь на помощь знающих работяг т.к не хочется сносить систему под 0 и терять важные файлы.
 

Вложения

  • CollectionLog-2023.05.11-23.44.zip
    57.2 KB · Просмотры: 3
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла


Запустите Autologger и прикрепите новый CollectionLog.
 
Вот, вирус вижу вроде как пропал. Загрузка стала быстрее, но проблема в том что Windows Defender пропал без вести.
 

Вложения

  • CollectionLog-2023.05.12-00.44.zip
    67.9 KB · Просмотры: 3
  • AV_block_remove_2023.05.12-00.36.log
    9.4 KB · Просмотры: 2
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ManagerService - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RecoveryHosts - C:\Programdata\Setup\sch.bat (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\SystemManager - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\WindowsUpdate\RecoveryManager - C:\Windows\SysWOW64\unsecapp.exe (file missing)


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот
 

Вложения

  • Addition_12-05-2023 01.08.37.txt
    82.3 KB · Просмотры: 4
  • FRST_12-05-2023 01.08.37.txt
    39.3 KB · Просмотры: 4
Если не возражаете, я продолжу.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812209
    CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812209","hxxp://mail.ru/cnt/10445?gp=811600","hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
    2023-05-08 21:17 - 2023-05-08 21:17 - 000000000 __SHD C:\ProgramData\princeton-produce
    2023-05-08 21:17 - 2023-05-08 21:17 - 000000000 __SHD C:\Program Files\HitmanPro
    2023-05-08 21:16 - 2023-05-08 21:16 - 000000000 __SHD C:\Users\Zver\Downloads\AV_block_remover
    2023-05-08 21:16 - 2023-05-08 21:16 - 000000000 __SHD C:\Users\Zver\Downloads\AutoLogger
    2023-05-08 21:16 - 2023-05-08 21:16 - 000000000 __SHD C:\Users\Zver\Desktop\AV_block_remover
    2023-05-08 21:16 - 2023-05-08 21:16 - 000000000 __SHD C:\Users\Zver\Desktop\AutoLogger
    AlternateDataStreams: C:\Users\Zver\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Zver\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Скрипт может выполняться длительное время (до получаса), дождитесь окончания.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Добрый день. Процедура очистки прошла успешно. Вируса я больше не наблюдаю, драйвер встает как родной. За помощь вашу спасибо но хотелось бы выяснить. Куда пропал Windows Defender?
 

Вложения

  • Fixlog_12-05-2023 14.53.01.txt
    5.9 KB · Просмотры: 3
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 
Пожалуйста
 

Вложения

  • FSS.txt
    4.1 KB · Просмотры: 5
Надеюсь решить можно будет данную проблему?
 
Вот логи
 

Вложения

  • CBS.LOG
    2.8 MB · Просмотры: 3
  • sfcdoc.log
    5.8 KB · Просмотры: 3
Остальное уже завтра, или коллеги подхватят.
 
Наконец нашел тему. Можно больше подробностей о дефендере? Лучше со скринами.
После этого вируса полностью пропал защитник windows defender. Его нету ни в панеле рядом с уведомлениями. Ни в поиске. Такое ощущение будто на компьютере его и вовсе не было.
1683987415964.png
 
Сделайте экспорт куста реестра
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 
.
 

Вложения

  • Новая сжатая ZIP-папка.zip
    3.2 KB · Просмотры: 3
Задал вопрос коллегам, подождите. С заразой вроде разобрались, осталось убрать последствия. Если помните, откуда качали бяку, то отправьте мне ссылку в ЛС
 
Назад
Сверху Снизу