qqqwewew
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Решена вирус MBAMService.exe
- Автор темы qqqwewew
- Дата начала
Переводчик Google
- Статус
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
qqqwewew
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
вот эти?
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
Скачайте AV block remover.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {46F0553D-968B-49BD-9ECB-3894AD4E6C6B} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed on rend1 logon => C:\Program Files (x86)\Auslogics\BoostSpeed\Integrator.exe /UseTray (Нет файла)
Task: {0A3763B4-0CD8-4CC8-8E50-0DCC15A5CBBB} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла)
Task: {B8204020-3211-4658-9457-9B3A729757E2} - System32\Tasks\Microsoft\Windows\GlobalDataA\RecoveryHosts => C:\ProgramData\Microsoft\MapData\yC5eqzS0JvkiIV\GlobalDataA.bat (Нет файла) <==== ВНИМАНИЕ
S4 ggsvc; E:\acsvc.exe [X]
S3 WaaSMedicSvc; %systemroot%\system32\WaasMedicSvc.dll [X]
StartRegedit:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@WaaSMedicSvc.dll,-101"
"DisplayName"="@WaaSMedicSvc.dll,-100"
"ErrorControl"=dword:00000001
"FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
"LaunchProtected"=dword:00000002
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
00,52,00,65,00,73,00,74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,\
6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ServiceMain"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
EndRegedit:
U4 Origin Client Service; отсутствует ImagePath
U4 Origin Web Helper Service; отсутствует ImagePath
S4 PRProt; \??\C:\Users\rend1\AppData\Local\Temp\ActiveAnticheat\1223549\active64.sys [X] <==== ВНИМАНИЕ
U4 webthreatdefsvc; отсутствует ImagePath
U4 webthreatdefusersvc; отсутствует ImagePath
Unlock: C:\ProgramData\Malwarebytes
Unlock: C:\Program Files\Malwarebytes
AlternateDataStreams: C:\ProgramData\agent.1711766599.bdinstall.v2.bin:05F4B595FF [3442]
AlternateDataStreams: C:\ProgramData\agent.uninstall.1711766650.bdinstall.v2.bin:B94186F345 [3442]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\wqzdwspb.xga:4076C4B17D [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:BE800952D3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overplus.lnk:E5E3462412 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unlocker.lnk:92B2FF644D [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VPNGame.lnk:DBDC6B2663 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8196]
AlternateDataStreams: C:\Users\rend1\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\rend1\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
CMD: DISM.exe /Online /Cleanup-image /Restorehealth
CMD: sfc /scannow
CMD: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"
CMD: type "%userprofile%\Desktop\sfcdetails.txt"
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Далее скачайте утилиту Malwarebytes Support Tool запустите перейдите в меню Adwanced - Clean для деинсталляции Malwarebytes.
После чего подготовьте новые логи FRST.txt Addition.txt
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Далее скачайте утилиту Malwarebytes Support Tool запустите перейдите в меню Adwanced - Clean для деинсталляции Malwarebytes.
После чего подготовьте новые логи FRST.txt Addition.txt
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
Смотрю все неплохо, давайте последний скрипт:
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
Unlock: "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender"
DeleteKey: "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender"
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
2025-02-09 03:21 - 2025-02-09 03:21 - 000000000 ____D C:\Users\rend1\AppData\Local\Malwarebytes
2025-02-07 16:52 - 2025-02-08 16:58 - 000003030 _____ C:\rdpwrap.txt
2025-02-07 16:52 - 2025-02-07 16:52 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2025-02-05 22:13 - 2025-02-08 16:40 - 000000000 ____D C:\Program Files (x86)\Auslogics
2025-02-05 22:13 - 2025-02-05 22:13 - 000000000 ____D C:\WINDOWS\system32\Tasks\Auslogics
2025-02-05 22:13 - 2025-02-05 22:13 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics
2025-02-04 22:09 - 2025-02-08 17:04 - 000000000 __SHD C:\ProgramData\Malwarebytes
2025-02-04 22:09 - 2025-02-08 17:04 - 000000000 __SHD C:\Program Files\Malwarebytes
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
- Сообщения
- 8,916
- Решения
- 3
- Реакции
- 5,886
Сбросьте групповые политики по этой инструкции
В безопасном режиме Windows удалите вот эту папку:
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
В безопасном режиме Windows удалите вот эту папку:
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
- Статус