IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Блокирует так же Av- заблокирован администратором даже в безопасном режиме с сетью
Решена Вирус блокирующий упоминание о нем, закрывает браузер/диспетчер/прочие программы
- Автор темы IllidanSTR
- Дата начала
Переводчик Google
- Статус
- Сообщения
- 26,336
- Решения
- 19
- Реакции
- 14,016
переименовывали?
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Переименовав в AV_b_r.exe- получилось открыть
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Хорошо. Теперь в нормальном режиме загрузки соберите необходимые логи по правилам раздела - Правила оформления запроса о помощи
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
27февраля был замечен и скрипт активно жил, сегодня утром после процедуры сбора логов в безопасном режиме (с сетью) он внезапно затих.
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
"Пофиксите" в HijackThis только следующие строки:
Перезагрузите компьютер ещё раз.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\omen\appdata\roaming\utorrent\pro\utorrentpro.exe');
QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\DRM\laGgKwETNPM2TEkpAH\SysFilesD.bat', '');
QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
QuarantineFile('c:\users\omen\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
DeleteSchedulerTask('EdgeUpdate');
DeleteSchedulerTask('EdgeUpdateTaskUser');
DeleteSchedulerTask('Microsoft\Windows\SysFilesD\RecoveryHosts');
DeleteSchedulerTask('RunGame');
DeleteSchedulerTask('uTorrentProUpdaterV5_t1730058122891');
DeleteSchedulerTask('uTorrentProUpdaterV6_t1730058126312');
DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\DRM\laGgKwETNPM2TEkpAH\SysFilesD.bat', '64');
DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
DeleteFile('c:\users\omen\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
DeleteFile('C:\Users\Omen\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
"Пофиксите" в HijackThis только следующие строки:
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Все выполнил, данной строчки не было- O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Хорошо. Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Файлы
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: C:\Users\Omen\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dongcijgjeemcpldicbobjgbciopconf C:\Users\Omen\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gcblpjfikpgeigmklkbicfaignepfncm 2024-10-26 05:51 - 2025-02-21 13:35 - 000000344 _____ () C:\Users\Omen\uTorrentPro.dat AlternateDataStreams: C:\Windows\tracing:? [16] AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [3442] AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox Redeem Launcher.lnk:5F7248A1A5 [3442] AlternateDataStreams: C:\Users\Omen\Desktop\Рисунок (2).jpg:3or4kl4x13tuuug3Byamue2s4b [87] AlternateDataStreams: C:\Users\Omen\Desktop\Рисунок (2).jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Omen\Desktop\Рисунок.jpg:3or4kl4x13tuuug3Byamue2s4b [87] AlternateDataStreams: C:\Users\Omen\Desktop\Рисунок.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Файлы
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Хорошо. Ещё один небольшой скрипт выполните, пожалуйста.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: StartPowershell: Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
Файл
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Удалите ещё вручную исключение Защитника для
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
(я случайно пропустил).
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
C:\ProgramData\WindowsTask\AppHost.exe - этого файла не было
- Сообщения
- 17,440
- Решения
- 5
- Реакции
- 3,678
Верно, файла нет. Но в Защитнике для него прописано исключение. Я дал ссылку на инструкцию, вот ещё раз:
Исправьте по возможности:
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Discord v.1.0.9147 Внимание! Скачать обновления
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
Читайте Рекомендации после удаления вредоносного ПО
После некоторых заражений системы в исключениях Защитника могут остаться пути вредоносных файлов.
Чтобы их удалить проделайте следующее:
В системном лотке (трее) щёлкните значок Защитника
В появившемся окне щёлкните область "Защита от вирусов и угроз"
Далее следует запустить "Управление настройками"
И наконец "Добавление или удаление исключений"
В появившемся списке исключений выберите искомое, нажмите стрелку вниз
И затем кнопку "Удалить"
Чтобы их удалить проделайте следующее:
В системном лотке (трее) щёлкните значок Защитника
В появившемся окне щёлкните область "Защита от вирусов и угроз"
Далее следует запустить "Управление настройками"
И наконец "Добавление или удаление исключений"
В появившемся списке исключений выберите искомое, нажмите стрелку вниз
И затем кнопку "Удалить"
Инструкции по теме:
Исправьте по возможности:
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Discord v.1.0.9147 Внимание! Скачать обновления
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
Читайте Рекомендации после удаления вредоносного ПО
IllidanSTR
Новый пользователь
- Сообщения
- 10
- Реакции
- 1
AppHost.exe удалил, спасибо вам от всей души )
- Статус