Обнаружил в папке programdata папки indus, avira, mb3install и malwarebytes, вычитал, что это связано с майнерами, попытался удалить, но в праве доступа отказано, из антивирусов стоит только безопасность windows. Помоги пожалуйста избавиться от этих папок.
Решена В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Удалить не получается
- Автор темы Mongol
- Дата начала
- Статус
- Сообщения
- 24,704
- Реакции
- 13,562
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_br.exe)
Повторно запустите Autologger и прикрепите новый CollectionLog.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_br.exe)
Повторно запустите Autologger и прикрепите новый CollectionLog.
- Сообщения
- 24,704
- Реакции
- 13,562
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скрипты выполнил и отправил quaratin согласно форме, но пофиксить в hijackthis не удалось, нет строки, которую нужно фиксить
Вот.
- Сообщения
- 24,704
- Реакции
- 13,562
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
После проверяйте, что с проблемой.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ FirewallRules: [{B76F6B48-6C64-4081-A18D-0634DDDD9B3E}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{9D4F8D4E-40A6-43C3-8EA8-0D7284677468}] => (Allow) C:\Users\79867\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{2490F6C4-CEFE-48EC-8E55-05BFADE6064A}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{2495A885-B006-4C0F-B618-88D3218F01AB}] => (Allow) C:\Users\79867\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [TCP Query User{77576E78-A940-4C9C-999B-3D876D080C8D}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла FirewallRules: [UDP Query User{D645BCD6-CC51-46F9-8ED7-3802CF5D1316}C:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\games\wargaming.net\gamecenter\wgc.exe => Нет файла FirewallRules: [{632990B6-148D-44D2-B11C-22A98E447D0A}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла FirewallRules: [{3A25B74E-9B8B-4FE2-965F-1201FE85B2AF}] => (Allow) C:\Games\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла FirewallRules: [{A9E922C2-6C5E-41C9-AC6F-B621FA82D5B5}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{8F32D1E9-D4D4-47DB-83C3-B84D14A2D035}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{F96D26CE-0DF6-4ADF-975C-178705B22434}] => (Allow) C:\Games\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{BD2340B5-DA63-4609-8AA8-2C89178F97EA}] => (Allow) C:\Games\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [TCP Query User{BF386943-7B35-446A-A72C-EB672D92758A}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла FirewallRules: [UDP Query User{F4E9ADB9-B08D-483C-84EA-AA44A6B104CF}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла FirewallRules: [{803F6EDC-5258-457A-AD85-C7FF7EAD7EC0}] => (Allow) LPort=1688 EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
После проверяйте, что с проблемой.
- Сообщения
- 24,704
- Реакции
- 13,562
Ничего не нужно делать. Такое развитие событий учтено в инструкции, запись в реестре удалилась при помощи AVZ
?
- Сообщения
- 24,704
- Реакции
- 13,562
Тогда завершающие шаги
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
-----------------
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
-----------------
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
- Сообщения
- 24,704
- Реакции
- 13,562
Исправьте по возможности
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Удачи!
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.11.4.727 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Удачи!
- Статус