Статус
В этой теме нельзя размещать новые ответы.

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Здравствуйте.
меня перенаправили к вам с проблемой самопроизвольного закрытия программ и "синего экрана". Я не очень осторожный пользователь, и мне сказали, что этого могут быть вирусы. Сама проблема состоит в том, что после некоторого времени( для разных программ оно разное) программа беспричинно закрывается. Без ошибки без краша. Просто закрывается. Частенько еще бывает, что крашится вся система, иногда даже раз за разом.
Помогите, добрые люди, разобраться мне в данной проблеме.
 

Вложения

  • CollectionLog-2022.10.12-19.54.zip
    122 KB · Просмотры: 8

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,682
Реакции
6,638
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Код:
C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat
вам знакомо? Ваше?
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Код:
C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat
вам знакомо? Ваше?
Хорошо, сейчас так и сделаю.

Нет знаю, а что это такое?
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,898
Реакции
3,077
Хорошо. Теперь соберите, пожалуйста, новый CollectionLog Автологером.
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Вот, пожалуйста.
 

Вложения

  • CollectionLog-2022.10.13-13.35.zip
    132.2 KB · Просмотры: 6

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,898
Реакции
3,077
Хорошо, продолжаем.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Bonjour
VideoAdsBlocker
VideoAdsBlocker
Wise Memory Optimizer 3.6.8
Word 2013 shareware
Менеджер браузеров

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Никак не смог удалить менеджер браузеров, ни через панель управления, ни принудительно через Geek Uninstaller.
 

Вложения

  • Addition.txt
    155.3 KB · Просмотры: 4
  • FRST.txt
    62.9 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,898
Реакции
3,077
ни принудительно через Geek Uninstaller.
Делали так, правой кнопкой?

 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,898
Реакции
3,077
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat [2018-12-30] () [Файл не подписан]
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {33144AD8-1ED9-42CE-8D06-A6C9D9AFAD45} - System32\Tasks\AdLock Update Task-S-1-5-21-2487219297-3440369055-2250354504-1038 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\капуста\AppData\Local\Programs\AdLock\1516b03fdc.msi" /quiet CHROME=1
    Task: {501cac72-332d-4de5-aad0-9b4294040bd6} - отсутствует путь к файлу
    Task: {5213eee4-aa5a-4a5d-aec9-3412a54f361c} - отсутствует путь к файлу
    Task: {96FA0745-7F4C-40D9-8A04-90741A9ABD1A} - System32\Tasks\polished-previous => C:\ProgramData\planes-precisely\bin.exe [12686336 2022-04-05] () [Файл не подписан]
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\капуста\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\капуста\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    2022-10-13 13:15 - 2022-10-13 13:15 - 000000000 ____D C:\ProgramData\hRDXllJLhHtBbFV
    AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-2487219297-3440369055-2250354504-1038\...\{61efd911-300f-47fe-ac5a-3eb5b43e2784}) (Version: 1.0.0.0 - AdLock) Hidden
    Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{815BAB3E-5A3A-410D-AD39-07C8C6CD322C}] => (Allow) LPort=80
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появятся скрытые ранее
AdLock Privacy Ad Blocker 1.0.0.0
Менеджер браузеров
Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,682
Реакции
6,638
Код:
 C:\Users\арсений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk    ->    C:\Users\арсений\AppData\Roaming\Twitch\Bin\Twitch.exe /startup (User 'арсений')
Это вам знакомо?

И из какой вы страны? У вас DNS один от Словакии прописан, другой от Франции.
 
Последнее редактирование:

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat [2018-12-30] () [Файл не подписан]
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {33144AD8-1ED9-42CE-8D06-A6C9D9AFAD45} - System32\Tasks\AdLock Update Task-S-1-5-21-2487219297-3440369055-2250354504-1038 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\капуста\AppData\Local\Programs\AdLock\1516b03fdc.msi" /quiet CHROME=1
    Task: {501cac72-332d-4de5-aad0-9b4294040bd6} - отсутствует путь к файлу
    Task: {5213eee4-aa5a-4a5d-aec9-3412a54f361c} - отсутствует путь к файлу
    Task: {96FA0745-7F4C-40D9-8A04-90741A9ABD1A} - System32\Tasks\polished-previous => C:\ProgramData\planes-precisely\bin.exe [12686336 2022-04-05] () [Файл не подписан]
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\капуста\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\капуста\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    2022-10-13 13:15 - 2022-10-13 13:15 - 000000000 ____D C:\ProgramData\hRDXllJLhHtBbFV
    AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-2487219297-3440369055-2250354504-1038\...\{61efd911-300f-47fe-ac5a-3eb5b43e2784}) (Version: 1.0.0.0 - AdLock) Hidden
    Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{815BAB3E-5A3A-410D-AD39-07C8C6CD322C}] => (Allow) LPort=80
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появятся скрытые ранее

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
Все получилось
 

Вложения

  • Fixlog.txt
    7.8 KB · Просмотры: 4

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Код:
 C:\Users\арсений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk    ->    C:\Users\арсений\AppData\Roaming\Twitch\Bin\Twitch.exe /startup (User 'арсений')
Это вам знакомо?

И из какой вы страны? У вас DNS один от Словакии прописан, другой от Франции.
Из России
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,682
Реакции
6,638
Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\BayioKoEHcCpC\wkzVCAR.dll', '');
 QuarantineFile('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR\aevyPWy.dll', '');
 QuarantineFile('C:\ProgramData\BzgBXwySmPMxGIVB\SEMhOpG.wsf', '');
 QuarantineFile('C:\ProgramData\CkwGJrrKifVmWVVB\uUbaZRI.wsf', '');
 QuarantineFile('C:\ProgramData\planes-precisely\bin.exe', '');
 QuarantineFile('C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat', '');
 QuarantineFile('C:\WINDOWS\regpolicy\aticonto.exe', '');
 QuarantineFileF('C:\Program Files (x86)\BayioKoEHcCpC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\kBYTHZmJPgRU2\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\ulQXJxdiHxSU2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\BzgBXwySmPMxGIVB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\BzgBXwySmPMxGIVB\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\CkwGJrrKifVmWVVB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\CkwGJrrKifVmWVVB\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\planes-precisely\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\BayioKoEHcCpC\wkzVCAR.dll', '64');
 DeleteFile('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR\aevyPWy.dll', '64');
 DeleteFile('C:\ProgramData\BzgBXwySmPMxGIVB\SEMhOpG.wsf', '64');
 DeleteFile('C:\ProgramData\CkwGJrrKifVmWVVB\uUbaZRI.wsf', '64');
 DeleteFile('C:\ProgramData\planes-precisely\bin.exe', '64');
 DeleteFile('C:\Users\капуста\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft NET_Framework.bat', '64');
 DeleteFile('C:\WINDOWS\regpolicy\aticonto.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\BayioKoEHcCpC\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\kBYTHZmJPgRU2\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR', '*', true);
 DeleteFileMask('C:\Program Files (x86)\ulQXJxdiHxSU2', '*', true);
 DeleteFileMask('C:\ProgramData\BzgBXwySmPMxGIVB', '*', true);
 DeleteFileMask('C:\ProgramData\BzgBXwySmPMxGIVB\', '*', true);
 DeleteFileMask('C:\ProgramData\CkwGJrrKifVmWVVB', '*', true);
 DeleteFileMask('C:\ProgramData\CkwGJrrKifVmWVVB\', '*', true);
 DeleteFileMask('C:\ProgramData\planes-precisely\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\BayioKoEHcCpC\');
 DeleteDirectory('C:\Program Files (x86)\kBYTHZmJPgRU2\');
 DeleteDirectory('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR');
 DeleteDirectory('C:\Program Files (x86)\ulQXJxdiHxSU2');
 DeleteDirectory('C:\ProgramData\BzgBXwySmPMxGIVB');
 DeleteDirectory('C:\ProgramData\BzgBXwySmPMxGIVB\');
 DeleteDirectory('C:\ProgramData\CkwGJrrKifVmWVVB');
 DeleteDirectory('C:\ProgramData\CkwGJrrKifVmWVVB\');
 DeleteDirectory('C:\ProgramData\planes-precisely\');
 DeleteSchedulerTask('polished-previous');
 DeleteSchedulerTask('rNfsrCYQpNqfOcrfNNU2');
 DeleteSchedulerTask('SgLOWQYcGcuil2');
 DeleteSchedulerTask('TuyZYeeiWhwys2');
 DeleteSchedulerTask('wgPoVvFawHYrCSXOC2');
 DeleteSchedulerTask('zgQCblDRLjhSdm');
 DeleteSchedulerTask('ZpEVDmIlefcqtj');
 DelBHO('{56753E59-AF1D-4FBA-9E15-31557124ADA2}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

2) Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

3) Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров.

4) Профиксите в HijackThis (некоторых строк может не быть)
Код:
O2 - HKLM\..\BHO: ClassicIEBHO Class - {EA801577-E6AD-4BD5-8F71-4BE0154331A4} - E:\ClassicIEDLL_64.dll (file missing)
O2 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - E:\ClassicExplorer64.dll (file missing)
O2-32 - HKLM\..\BHO: ClassicIEBHO Class - {EA801577-E6AD-4BD5-8F71-4BE0154331A4} - E:\ClassicIEDLL_32.dll (file missing)
O2-32 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - E:\ClassicExplorer32.dll (file missing)
O3 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - E:\ClassicExplorer64.dll (file missing)
O3-32 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - E:\ClassicExplorer32.dll (file missing)
O9 - Button: HKLM\..\{56753E59-AF1D-4FBA-9E15-31557124ADA2}: (no name) - E:\\ClassicIE_32.exe (file missing)
O9 - Tools menu item: HKLM\..\{56753E59-AF1D-4FBA-9E15-31557124ADA2}: Classic IE Settings - E:\\ClassicIE_32.exe (file missing)
O9-32 - Button: HKLM\..\{56753E59-AF1D-4FBA-9E15-31557124ADA2}: (no name) - E:\\ClassicIE_32.exe (file missing)
O9-32 - Tools menu item: HKLM\..\{56753E59-AF1D-4FBA-9E15-31557124ADA2}: Classic IE Settings - E:\\ClassicIE_32.exe (file missing)
O15 - Trusted Zone: http://webcompanion.com
O17 - DHCP DNS 1: 45.95.11.175
O17 - DHCP DNS 2: 163.172.35.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{a6971333-0080-4137-baf4-33284ddc3d3f}: [NameServer] = 163.172.35.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{a6971333-0080-4137-baf4-33284ddc3d3f}: [NameServer] = 45.95.11.175
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk1 SyncDone: (no name) - {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk2 SyncProgress: (no name) - {75EF3512-D401-4172-BA0F-00E000DCBCE4} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk3 SyncDisabled: (no name) - {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk4 SyncError: (no name) - {9CE04609-A360-4266-9937-9D799E8D2D5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk5 SyncPart: (no name) - {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - E:\ClassicExplorer64.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ - E:\ClassicExplorer32.dll (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{501cac72-332d-4de5-aad0-9b4294040bd6} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{501cac72-332d-4de5-aad0-9b4294040bd6} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5213eee4-aa5a-4a5d-aec9-3412a54f361c} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5213eee4-aa5a-4a5d-aec9-3412a54f361c} - (no key)
O22 - Tasks: Opera scheduled Autoupdate 1658674453 - C:\Users\капуста\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks: rNfsrCYQpNqfOcrfNNU2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\BayioKoEHcCpC\wkzVCAR.dll",#1
O22 - Tasks_Migrated: \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\sedlauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

5) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\арсений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\арсений\Desktop\Новая папка (3)\Tor Browser\Start Tor Browser.lnk
C:\Users\арсений\Desktop\Новая папка (3)\Start Tor Browser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
C:\Users\user\OneDrive\Рабочий стол\Новая папка\Microsoft Edge.lnk
C:\Users\user\OneDrive\Рабочий стол\Discord.lnk
C:\Users\user\OneDrive\Рабочий стол\audacity.lnk
C:\Users\user\OneDrive\Рабочий стол\µTorrent.lnk

6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Готово.
 

Вложения

  • ClearLNK-2022.10.13_18.11.27.log
    5.6 KB · Просмотры: 1
  • CollectionLog-2022.10.13-18.16.zip
    123 KB · Просмотры: 5

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,682
Реакции
6,638
I) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
II) McAfee Security Scan Plus - деинсталируйте.
III) удалите остатки avast Чистка системы после некорректного удаления антивируса
IV) Профиксите в HijackThis
Код:
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ShareOverlay: (no name) - {594D4122-1F87-41E2-96C7-825FB4796516} - (no file)

И на рабочем столе советую немного прибраться и удалить лишнее.

V) Соберите свежие логи и сообщите, что с проблемой.
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
Вроде как, все разрешилось
 

Вложения

  • CollectionLog-2022.10.14-12.28.zip
    117.2 KB · Просмотры: 5

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,898
Реакции
3,077
Не спешите, ещё кое-что дочистим.

Деинсталлируйте
Если не получится стандартно, удаляйте принудительно через Geek Uninstaller

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\telamon cleaner\tt-service.exe');
 TerminateProcessByName('c:\users\капуста\appdata\local\soax-m\soax-m.exe');
 StopService('tclnsvc');
 QuarantineFile('c:\programdata\telamon cleaner\tt-service.exe', '');
 QuarantineFile('c:\users\капуста\appdata\local\soax-m\soax-m.exe', '');
 QuarantineFileF('c:\programdata\telamon cleaner\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\капуста\appdata\local\soax-m\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\programdata\telamon cleaner\tt-service.exe', '32');
 DeleteFile('C:\ProgramData\Telamon Cleaner\tt-service.exe', '64');
 DeleteFile('c:\users\капуста\appdata\local\soax-m\soax-m.exe', '32');
 DeleteService('tclnsvc');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'soax-m', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для очередной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Помидор_20015

Пользователь
Сообщения
25
Реакции
0
У меня пропало приложение, а до этого писало что мол приложение не может быть открыто, так как содержит вирус или что-то вроде того. Что делать?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу