Решена Вирус-майнер на ПК который не дает открыть папку ProgramData и закрывает диспетчер задач

Статус
В этой теме нельзя размещать новые ответы.

cxz

Новый пользователь
Сообщения
9
Реакции
0
Пытался снять задачу вируса в диспетчере задач, но через 5 секунд он сново появлялся и сильно тормозил ПК
 
Последнее редактирование:
@cxz, Передайте логи по правилам:
 
Это ?
 

Вложения

  • CollectionLog-2023.11.18-19.34.zip
    80.8 KB · Просмотры: 3
@cxz, 1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 DeleteSchedulerTask('Microsoft\Windows\MasterDataN\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\FilesBackUP');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ServiceManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SysFiles');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('principal-player');
RebootWindows(true);
end.
Компьютер перезагрузится.

2. Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 
Извините за ожидание, вот
 

Вложения

  • AV_block_remove_2023.11.18-21.29.log
    13 KB · Просмотры: 4
  • CollectionLog-2023.11.18-21.40.zip
    49.7 KB · Просмотры: 3
@cxz, CollectionLog не полный, попробуйте собрать лог еще раз.
 
Вроде должен быть полный
 

Вложения

  • CollectionLog-2023.11.18-22.05.zip
    69.2 KB · Просмотры: 2
@cxz, 1. Удалите нежелательные программы
Код:
principal-player

2. "Пофиксите" в HijackThis только строки:
Код:
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

3. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
 
А как удалить principal-player ?
 
@cxz, Удаление на панели управления (для программ)
  1. Введите панель управления в поле поиска на панели задач, а затем в списке результатов выберите "Панель управления".
  2. Выберите Программы > Программы и компоненты.
  3. Нажмите и удерживайте (или щелкните правой кнопкой мыши) программу, которую требуется удалить, а затем выберите Удалить или Удалить или изменить. Затем следуйте инструкциям на экране.
 
А он у меня раньше не удалялся, понял спасибо. Сейчас скачаю FRST
 
Вот в архиве
 

Вложения

  • FRST.rar
    25.8 KB · Просмотры: 2
@cxz, 1. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    CHR HKU\S-1-5-21-495566890-3086575397-3001419801-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Долго исправлялось, вот
 

Вложения

  • Fixlog.txt
    2.8 KB · Просмотры: 1
Да, решена, спасибо большое !
 
@cxz, 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу