Решена Вирус (закрывает проводник, диспетчер задач, гугл)

Переводчик Google

walf1901

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, поймал какой то вирус, найти в диспетчере задач не могу, закрывает его, также закрывает папку ProgramData, когда пытался снять логи закрывал папку с AutoLogger, также запрещает открывать сайты антивирусов (Касперского) а сайт доктора веба закрывает, очень сильно нагружает цп под 70% а если открываю диспетчер то падает до 5%, какие логи смог такие и снял, может чего то не хватает потому что вирус закрывает
 

Вложения

Последнее редактирование:
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
 
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
 

Вложения

уже стало по лучше, перестал закрывать приложения и диспетчер задач
 
Теперь давайте
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Теперь давайте
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

"Пофиксите" в HijackThis только следующие строки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
Перезагрузите компьютер.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3185802289-136763403-798142324-1001\...\MountPoints2: {0bb39c7d-515b-11ee-a2e5-b4b5b676098e} - "D:\autorun.exe" 
    HKU\S-1-5-21-3185802289-136763403-798142324-1001\...\MountPoints2: {0bb39d03-515b-11ee-a2e5-b4b5b676098e} - "F:\START.EXE" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    C:\Users\walf1901\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-3185802289-136763403-798142324-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    2024-12-07 14:29 - 2024-12-07 14:29 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
    2024-12-07 14:29 - 2024-12-07 14:29 - 000000000 __SHD C:\Program Files\NZXT CAM
    2024-12-07 14:29 - 2024-12-07 14:29 - 000000000 __SHD C:\Program Files\Corsair
    AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [4306]
    AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ARIZONA GAMES.lnk:210FAB6407 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Legion Arena.lnk:20903A5BF7 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4306]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8202]
    AlternateDataStreams: C:\Users\walf1901\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\walf1901\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
"Пофиксите" в HijackThis только следующие строки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
Перезагрузите компьютер.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3185802289-136763403-798142324-1001\...\MountPoints2: {0bb39c7d-515b-11ee-a2e5-b4b5b676098e} - "D:\autorun.exe"
    HKU\S-1-5-21-3185802289-136763403-798142324-1001\...\MountPoints2: {0bb39d03-515b-11ee-a2e5-b4b5b676098e} - "F:\START.EXE"
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    C:\Users\walf1901\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-3185802289-136763403-798142324-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    2024-12-07 14:29 - 2024-12-07 14:29 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
    2024-12-07 14:29 - 2024-12-07 14:29 - 000000000 __SHD C:\Program Files\NZXT CAM
    2024-12-07 14:29 - 2024-12-07 14:29 - 000000000 __SHD C:\Program Files\Corsair
    AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [4306]
    AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ARIZONA GAMES.lnk:210FAB6407 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Legion Arena.lnk:20903A5BF7 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4306]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8202]
    AlternateDataStreams: C:\Users\walf1901\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\walf1901\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Дважды не нужно было выполнять скрипт, результат перезаписан. Но не страшно.

Ещё один небольшой скрипт выполните.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Дважды не нужно было выполнять скрипт, результат перезаписан. Но не страшно.

Ещё один небольшой скрипт выполните.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Полностью цитировать предыдущее сообщение не обязательно. Пишите в нижнем поле быстрого ответа.
Что с проблемой?
 
Отлично!
В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

Python 3.11.0 (64-bit) v.3.11.150.0 Внимание! Скачать обновления
TeamViewer Host v.15.55.3 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9143 Внимание! Скачать обновления
ProtonVPN v.1.27.2 Внимание! Скачать обновления
qBittorrent v.4.6.5 Внимание! Скачать обновления
Spotify v.1.2.21.1104.g42cf0a50 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Mozilla Thunderbird (x64 ru) v.115.5.1 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
BlueStacks v.5.21.580.1019 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Читайте Рекомендации после удаления вредоносного ПО
 
Назад
Сверху Снизу