Решена Вирус-майнер на ПК который не дает открыть папку ProgramData и закрывает диспетчер задач

[cxz]

Пытался снять задачу вируса в диспетчере задач, но через 5 секунд он сново появлялся и сильно тормозил ПК

 

[Arkalik]

@cxz, Передайте логи по правилам:

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...

www.safezone.cc

 

[cxz]

Это ?

 

[Arkalik]

@cxz, 1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\MasterDataN\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\FilesBackUP');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ServiceManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SysFiles');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('principal-player');
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[cxz]

Извините за ожидание, вот

 

[Arkalik]

@cxz, CollectionLog не полный, попробуйте собрать лог еще раз.

 

[cxz]

Вроде должен быть полный

 

[Arkalik]

@cxz, 1. Удалите нежелательные программы

principal-player

2. "Пофиксите" в HijackThis только строки:

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

3. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

[cxz]

А как удалить principal-player ?

 

[Arkalik]

@cxz, Удаление на панели управления (для программ)

1. Введите панель управления в поле поиска на панели задач, а затем в списке результатов выберите "Панель управления".
2. Выберите Программы > Программы и компоненты.
3. Нажмите и удерживайте (или щелкните правой кнопкой мыши) программу, которую требуется удалить, а затем выберите Удалить или Удалить или изменить. Затем следуйте инструкциям на экране.

 

[cxz]

А он у меня раньше не удалялся, понял спасибо. Сейчас скачаю FRST

 

[cxz]

Вот в архиве

 

[Arkalik]

@cxz, 1. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  CHR HKU\S-1-5-21-495566890-3086575397-3001419801-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[cxz]

Долго исправлялось, вот

 

[Arkalik]

@cxz, Проблема решена?

 

[cxz]

Да, решена, спасибо большое !

 

[Arkalik]

@cxz, 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.