Решена Вирус/Троян, не даёт открыть скрытые папки, закрывает браузер, диспетчер задач и msconfig. Не могу никак избавиться, помогите пожалуйста 🙏

[horter]

После установки программы с постороннего сайта на компьютере появился вирус Троян. После поиска антивируса в браузере , моментально его закрывает. получилось вчера скачать установочные файлы антивируса но толку не много ибо он не дал мне их открыть. также при открытии msconfig чтобы включить безопасный режим, моментально пропадает окно. Диспетчер даёт открыть на несколько минут но толку от него не много.

 

[horter]

с 5-ого раза получилось скачать вашу программу , но увы открывается ровно на секунду(( не знаю что делать

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

 

[horter]

Готово!

 

[horter]

Прикрепил!!

 

[Severnyj]

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[horter]

Готово!!

 

[Severnyj]

Деинсталлируйте следующие программы:

gt-launcher 5.3.9
TorrentPro 8.2.7

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).


Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-3992856254-958219828-1378424414-1001\...\Run: [gt-launcher] => C:\Users\Usuario\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe [146382336 2024-08-21] (GitHub, Inc.) [Файл не подписан]
C:\Users\Usuario\AppData\Local\Programs\com.gametop.launcher\
Task: {31B5181E-5073-4EF9-B7AA-4EA85F29E5A1} - \Microsoft\Windows\CreedMobeX\K4BjFXmpQD -> Нет файла <==== ВНИМАНИЕ
Task: {F79F97E0-F13E-4BFD-B5CD-B9C58C26407D} - \Microsoft\Windows\CreedMobeX\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
Task: {343F1148-00B9-4870-99B2-CD3CC0DB02C7} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [200704 2025-02-18] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
Task: {5E1C577B-975B-4C04-BF0E-2794DEE9F7A0} - System32\Tasks\OneDriveUpdater => C:\Windows\System32\wscript.exe [200704 2025-02-18] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wsIC.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wsIC.vbs
C:\Users\Usuario\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gmabgcinfefhdgfmjeiobhoianebmlkh
C:\Users\Usuario\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\leifkeoalnhcknnnejjddjppnolfieoi
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKU\S-1-5-21-3992856254-958219828-1378424414-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Файл вида Дата_Время.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru ссылку отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

[horter]

Есть

 

[Severnyj]

Еще один фикс:

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой?

 

[horter]

Вот. Также я не понял о "почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения." , имеется ввиду буквально ссылка url темы или что то другое?

Всё, с ссылкой разобрался, извиняюсь)

 

[Severnyj]

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[horter]

Готово

 

[Severnyj]

Обновляйте:

Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20651 Warning! Download Update
How Install Office updates?
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Warning! Download Update
Recuva v.1.53 Warning! Download Update
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
Discord v.1.0.9032 Warning! Download Update
Zoom v.5.17.2 (29988) Warning! Download Update
VLC media player v.3.0.20 Warning! Download Update

+++

Рекомендации после удаления вредоносного ПО

 

[horter]

Готово, правда офис обновить не получилось ибо лицухи нету. Спасибо огромное. Это всё или еще что то нужно сделать?

 

[Severnyj]

Удачи! Это всё.