Здравствуйте. Закрывает браузер на сомнительных по его мнению сайтах, запросах в поисковике. Закрывает мсконфиг окно через вин+R. Не дает установить антивирус. Нет точек восстановления (минимум одна должна была быть созданная вручную) Я попробовал чистить тем что было на компьютере, но оно устарело лет на 5 или больше и подтерло не то что надо. В безопасном режиме таких приколов нет. Виндов 10, антивируса нет, встроенный отключен.

Уважаемый(ая) Phobos010, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_updat e.exe (file missing)
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Home\AppData\Local\Yandex\YandexBrowser\A pplication\browser.exe (file missing)
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_updat e.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A5FA9 01-FFD6-4B27-9B74-2AF76E9A741A} - \Microsoft\Windows\Setup\EOSNotify2 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{991B6E 48-160D-4553-A632-64EB9388B533} - \Microsoft\Windows\Setup\EOSNotify (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Outbyte\ Driver Updater (empty)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe
Скачайте, распакуйте и запустите утилиту AV block remove (https://inlnk.ru/ZZNRdX), следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Вот.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
Task: {7D66EDF1-C184-442C-B3F1-CF55015AEFC7} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => %windir%\system32\sipnotify.exe -LogonOrUnlock (Нет файла)
Task: {375B9616-847E-455C-A1FF-B3CC3E14CFE5} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => %windir%\system32\sipnotify.exe -Daily (Нет файла)
Task: {8BBC40C1-D6DA-4CA0-BAB7-A83A2A90987E} - System32\Tasks\Microsoft\Windows\SysFilesF\Recover yHosts => C:\ProgramData\Microsoft\DRM\sOBF1yQwoDJ\SysFilesF .bat (Нет файла) <==== ВНИМАНИЕ
Task: {1CAF5FA9-E42F-4DCC-AE66-1863A9D27E79} - System32\Tasks\Opera scheduled Autoupdate 1599137670 => C:\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {A64EE682-D8F0-41FB-84A4-78092BB3097B} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding (Нет файла)
Task: {F68FE8CD-551F-40E2-8A8C-1D6D9731F40F} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_updat e.exe --repair (Нет файла)
ManualProxies: 1127.0.0.1:2080 <==== ВНИМАНИЕ
FF Plugin: @java.com/DTPlugin,version=11.261.2 -> C:\Program Files\Java\jre1.8.0_261\bin\dtplugin\npDeployJava1 .dll [Нет файла]
FF Plugin: @java.com/JavaPlugin,version=11.261.2 -> C:\Program Files\Java\jre1.8.0_261\bin\plugin2\npjp2.dll [Нет файла]
FF Plugin HKU\S-1-5-21-1736526909-1764787782-3757360092-1000: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [Нет файла]
CHR HKU\S-1-5-21-1736526909-1764787782-3757360092-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKLM-x32\...\Chrome\Extension: [makcojoppodhcgmmchohadhpkicoafka]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Скачайте Farbar Service Scanner (https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/)

Запустите.
Убедитесь, что отмечены следующие пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему сообщению.

Вот.

Системный антивирус, Защитник/Defender, сами извели, был отключен в сборке, или последствия зловреда?

Деинсталлируйте бесполезный Loaris Trojan Remover.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR (https://www.anti-malware.ru/news/2023-10-16-111332/42116).
Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора. (https://www.kaspersky.ru/blog/cve-2025-0411-motw-subvert/38933/)

Java 8 обязательно обновите до текущего билда (https://www.java.com/ru/download/), у Вас устаревшая версия со множеством критических уязвимостей.

Я его отключил, у меня тостер и слышать и видеть нагрузку от антивируса я не хотел. Хотел как было на вин7. А антивирус на вин 7 стоял есед, но без ключа, а обновлять ежемесячно не хотел и отказался от антивируса вообще, раз он все равно ничего не делает. Если бы с пустой головой не лез на неизвестные сайты, что бы решить одну проблему о которой мне прожужжали уши, я бы не скачал это.
Отключал уведомления, браудмэр, сбор данных, обновление виндовс, еще какие процессы грузящие цп висящие в процессе.
Все остальное сейчас сделаю.
Будет что-то еще, или мне можно лезть (мучатся) обратно в реестр и все отключать? Или не отключать, но телеметрию надо будет посмотреть.
А почему мигают иконки на рабочем столе, словно нажал "обновить" через пкм? Еще в панели управления в мелких значках папка Biometrics, Windows Update и другое. Если есть где-то, что-то еще, то я туда не ходил и не видел.

Толку особого от отключения всяких "лишних" сервисов, как по мне, нет, а "дооптимизировать" систему до её неработоспособности легко.
По миганию значков универсальных решений не видел.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Сделал.

Наверно мигают значки из-за того, что все по умолчанию программы слетели и видна их постоянно сбрасывает. И там другие приколы. К примеру не могу открыть образ через demontools (в доступе отказано). Я вин10 поверх вин7 ставил (сама поставилась), если я восстановление точки недельной давности сделаю, это вернет систему в норму, чтобы ничего трогать больные не надо было? Или теперь надо с новыми приколами разбираться? А еще могут быть вопросы к реестру и групповым политикам, но это надо искать что там создавать и выключать надо, чтобы к примеру сообщение об выключенном брандмауэр не выскакивало, хотя вроде все стоит, а оно выскакивает. Антивирус встроенный выглядит не работающим, а я не удивлюсь, если он частично работает, раз мне сует окно с тем, что он не хочет, что бы я открывал этот экзешник, а шел в настройки и клика "разрешить".

Вкратце:
1. Имеет ли смысл сделать восстановление системы из точки недельной давности, чтобы вернуть к состоянию, когда можно ничего не трогать как сейчас? Это вообще сработает?
2. Мерцание иконок, возможна происходит из-за постоянного сброса программ по умолчанию к предустановленным. После перезагрузки все возвращается к предустановленному.
3. Не открывает .iso через DaemonTools - “В доступе отказано” - возможно шутки от встроенного антивируса, который не работает, но работает.
4. Возможно частичная работа антивируса - не даёт запускать некоторые exe, нужно идти в свойства программы и включать “Разрешить”.
?. Кто его знает что еще…

1. Майнер словили 21-го, так что, с большой долей вероятности, откат даже на точку от 20.02 вернёт систему в норму.
2. Маловероятно. Зачем вообще DaemonTools, проводник сам открывает и монтирует образы?
4. Что именно "разрешить"? Может, права слетели?

Сделал восстановление самое последние, которое было. Выглядит нормально и ощущается так же. Пришлось переустановить хром и снести/переустановить архиваторы и джава по вашей рекомендации. Винрар не хотел удаляться выдавая запрет от системы, но после перезагрузки удалось удалить директорию с программой.

После установку в хроме были какие-то не запущенные расширения яндекс, пдф и гугл диск. Удалил. Папку с данными хрома в AppData я убрал в другое место перед установкой забрав оттуда только файлы закладок в новую.

2. Не знаю такого, умеет она так или нет.
4. Это я в первый раз .iso включал на вин10 пытаясь смонтировать. Вернусь к этому вопросу, когда мне нужно будет смонтировать образ в вин10 (никогда).

Спасибо за помощь.