Решена Вирус блокирующий антивирусы и права

Статус
В этой теме нельзя размещать новые ответы.

Andrey2

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте, поймал вирус, который блокировал доступ к антивирусным сайтам, к данному порталу и прочим порталам, где помогают чинить вирусы) Качал на флешку доктор веб, находило 2 вируса и резко останавливался процесс. Нашел какой-то гайд спустя несколько часов, удалил в реестре что-то, удалил бразуер и поставил заново, зашел в безопасный режим, из него поставил нод32 и удалил 23 вируса. После выхода из безопасного проблема с вылетом с сайтов решилась. Я скачал HiJackThis прогнал ошибки и нашел правила блокирующие определенные названия exe файлов (Там был весь список популярных антивирусов), поняв логично, что это странные правила, я удалил их без всякой помощи. Однако по прежнему не могу установить Malwarebytes, он просто не ставится (Раньше был, но после того, как словил этот вирус его открыть не могу, его "нет" и он не ставится). Скачал программу unlocker, папка есть в скрытых, но удалить ее не могу, что-то сделать со своими правами тоже, пишет, что не имею доступа и нужно спрашивать доступ у "Администраторы" (Я являюсь администратором на "бумаге" и могу выполнять функции, кроме вот таких вот). Все гайды пересмотрел, везде зайдите в безопасность и прочее, но я не могу ничего поменять, вылазит ошибка, что маловато прав) В общем не знаю как фиксить. И да, у меня пропал файл hosts, его больше нет, с момента ловли вируса (До удаления нодом, при попытке сделать поиск в виндовсе слова "hosts" вылетал и проводник). Прикрепил лог из хайджека. Может там что еще нужно пофиксить. Если еще что-то надо скинуть, скажите. Буду благодарен за помощь
 

Вложения

  • HiJackThis.log
    38.4 KB · Просмотры: 9
Последнее редактирование:
Да, также некоторые сайты стали отдавать ошибку ERR_SSL_PROTOCOL_ERROR и не открываться совсем.
 
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Вот. Спасибо за утилиту, файл hosts вернулся, с чистыми правами. Но проблема с Malwarebytes так и осталась, он стал "защитником Windows" сам, при этом открыть его нельзя. Удалить его ни в панели управления, ни через Unlocker папку никак нельзя, требует прав от группы "Администраторы"
 

Вложения

  • AV_block_remove_2022.08.24-15.07.log
    10.4 KB · Просмотры: 3
  • AV_block_remove_2022.08.24-15.11.log
    8.2 KB · Просмотры: 4
  • delminer.txt
    31.1 KB · Просмотры: 5
1661345267332.png
Вот что выдает автологгер при попытке его запустить. Также прикрепил новый лог из AVZ после повторного сканирования
 

Вложения

  • avz_log.txt
    315.6 KB · Просмотры: 0
Попробуйте в безопасном. Похоже антивирус у вас блочит Автологер вместо вирусов.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Вложения

  • Downloads.rar
    35.6 KB · Просмотры: 5
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Task: {274F6610-7013-4C3D-87D8-EAC0BAE46399} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {529A9354-6EDE-412A-94D9-2BF1E21E7691} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {9B344421-1FA8-4FF3-869F-A5C94190C4B4} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {C80EAC97-C602-4A59-A4C5-8C72F6CDDB68} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
Unlock: C:\Program Files\Malwarebytes
AlternateDataStreams: C:\Users\andre\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\andre\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{079CD61A-1065-4BA6-A094-E5AD5093EA78}E:\program files (x86)\origin games\battlefield 1\bf1.exe] => (Allow) E:\program files (x86)\origin games\battlefield 1\bf1.exe => Нет файла
FirewallRules: [UDP Query User{AB01E80D-C896-49C4-8DF5-ECB4C029D481}E:\program files (x86)\origin games\battlefield 1\bf1.exe] => (Allow) E:\program files (x86)\origin games\battlefield 1\bf1.exe => Нет файла
FirewallRules: [TCP Query User{2CCE8230-971D-42C3-AE2A-06EBCC76DAF1}C:\users\andre\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{5963F53F-C4A4-4A0F-A686-4E7250581C27}C:\users\andre\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{D6AB458B-0343-43E9-B4AA-C390C155A26E}] => (Block) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{849F74EC-6BDF-4134-B287-5B9BC5ACB9BE}] => (Block) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{72DE208E-3DB1-4E4A-97A2-F49567084F81}E:\forza horizon 5\forzahorizon5.exe] => (Allow) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [UDP Query User{6A0CB086-573F-456B-857B-94DD2C310976}E:\forza horizon 5\forzahorizon5.exe] => (Allow) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [{38AB4AD2-2867-4D50-B789-4AF5C37B6284}] => (Block) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [{20A8BE7C-1F27-4897-97CD-A6E9DDBDDFF3}] => (Block) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [TCP Query User{5E71804B-D341-4B51-89DF-177D4B17506B}C:\users\andre\appdata\local\programs\opera\opera.exe] => (Block) C:\users\andre\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{259EDF37-2732-4D50-9666-C6A91722D095}C:\users\andre\appdata\local\programs\opera\opera.exe] => (Block) C:\users\andre\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{86285A7B-AA7A-4BEF-AC7B-F8E41875BD19}E:\red dead redemption 2\rdr2.exe] => (Allow) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{AD39494E-3898-4882-B7FC-8A81A1303E1B}E:\red dead redemption 2\rdr2.exe] => (Allow) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{4D5340DA-9F60-474F-AD38-ECFC52ED2378}] => (Block) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{24EF6B2F-3924-4F4C-9BE1-BCB6203CA0F7}] => (Block) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{28B398C9-6DBB-446D-A39C-6639B602C8E2}] => (Allow) C:\Users\andre\AppData\Local\Programs\Opera\89.0.4447.83\opera.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Task: {274F6610-7013-4C3D-87D8-EAC0BAE46399} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {529A9354-6EDE-412A-94D9-2BF1E21E7691} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {9B344421-1FA8-4FF3-869F-A5C94190C4B4} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {C80EAC97-C602-4A59-A4C5-8C72F6CDDB68} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
Unlock: C:\Program Files\Malwarebytes
AlternateDataStreams: C:\Users\andre\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\andre\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{079CD61A-1065-4BA6-A094-E5AD5093EA78}E:\program files (x86)\origin games\battlefield 1\bf1.exe] => (Allow) E:\program files (x86)\origin games\battlefield 1\bf1.exe => Нет файла
FirewallRules: [UDP Query User{AB01E80D-C896-49C4-8DF5-ECB4C029D481}E:\program files (x86)\origin games\battlefield 1\bf1.exe] => (Allow) E:\program files (x86)\origin games\battlefield 1\bf1.exe => Нет файла
FirewallRules: [TCP Query User{2CCE8230-971D-42C3-AE2A-06EBCC76DAF1}C:\users\andre\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{5963F53F-C4A4-4A0F-A686-4E7250581C27}C:\users\andre\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{D6AB458B-0343-43E9-B4AA-C390C155A26E}] => (Block) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{849F74EC-6BDF-4134-B287-5B9BC5ACB9BE}] => (Block) C:\users\andre\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{72DE208E-3DB1-4E4A-97A2-F49567084F81}E:\forza horizon 5\forzahorizon5.exe] => (Allow) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [UDP Query User{6A0CB086-573F-456B-857B-94DD2C310976}E:\forza horizon 5\forzahorizon5.exe] => (Allow) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [{38AB4AD2-2867-4D50-B789-4AF5C37B6284}] => (Block) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [{20A8BE7C-1F27-4897-97CD-A6E9DDBDDFF3}] => (Block) E:\forza horizon 5\forzahorizon5.exe => Нет файла
FirewallRules: [TCP Query User{5E71804B-D341-4B51-89DF-177D4B17506B}C:\users\andre\appdata\local\programs\opera\opera.exe] => (Block) C:\users\andre\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{259EDF37-2732-4D50-9666-C6A91722D095}C:\users\andre\appdata\local\programs\opera\opera.exe] => (Block) C:\users\andre\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{86285A7B-AA7A-4BEF-AC7B-F8E41875BD19}E:\red dead redemption 2\rdr2.exe] => (Allow) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{AD39494E-3898-4882-B7FC-8A81A1303E1B}E:\red dead redemption 2\rdr2.exe] => (Allow) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{4D5340DA-9F60-474F-AD38-ECFC52ED2378}] => (Block) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{24EF6B2F-3924-4F4C-9BE1-BCB6203CA0F7}] => (Block) E:\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{28B398C9-6DBB-446D-A39C-6639B602C8E2}] => (Allow) C:\Users\andre\AppData\Local\Programs\Opera\89.0.4447.83\opera.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Готово
 

Вложения

  • Fixlog.txt
    12.2 KB · Просмотры: 3
Malwarebytes удалось удалить. Не подскажете, на этом мой компьютер чист после этой всей гадости, или нет?) Стоит ли заново пробовать ставить Malwarebytes, чтобы сделать скан?
 
Как хотите.

Мусор от майнера почистили.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 
Как хотите.

Мусор от майнера почистили.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 

Вложения

  • SecurityCheck.txt
    8.2 KB · Просмотры: 5
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.51.0 v.3.51.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.3.00.30866 Внимание! Скачать обновления
Telegram Desktop version 4.1 v.4.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.1.1 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу