вирус блокирует сайты с антивирусами и форумами

Здравствуйте, подцепил вирус который блокирует сайты с антивирусами лечищами программами и форумы. Пишу с телефона в браузере блочит форум.

Уважаемый(ая) [B]BigBoss6346[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

получилось касперским подлечить, теперь хоть форум открывается, автолог загрузил.

Здравствуйте,

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите [B][URL="https://1drv.ms/u/s!Aguwh-yruJSWlHK-GXHLCIvZVv2K?e=LMTHhf"]AV block remover[/URL][/B] или сокращённо [B]AVbr[/B] - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот [B]вирус устанавливает RMS[/B]. [B][I]Так что ваши данные тоже могли быть похищены.[/I][/B]

[B]Для использования утилиты необходимо:[/B]
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

[B]В ходе работы утилиты[/B] рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

[B]Утилита удаляет сам майнер и его производные.[/B]
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


[B]После того как пролечитесь им соберите свежие логи по правилам.[/B]

не запускается, выскакивает окно ограничения (операция отменена вследствие действующих для компьютера ограничений. обратитесь к администратору сети. Запускал от имени администратора.

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
[/CODE]

Далее попробуйте выполнить инструкции утилиты AVbr

удалил какого то пользователя незнакомого мне ( John )

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

не нашел данные строки

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3C6FF005-F8F8-4DBD-8268-F40DAB4E2A55} - \Microsoft\Windows\Wininet\RealtekHDStartUP (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44A6C3FF-0E8E-4ED2-8284-656A37E69010} - \Microsoft\Windows\Wininet\Taskhost (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D02E87C6-059D-4F63-9E5B-9F6F572348B0} - \Microsoft\Windows\Wininet\RealtekHDControl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4CE8AC2-8C7E-4E9F-87B5-60FF85EDA393} - \Microsoft\Windows\Wininet\Taskhostw (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software (empty)
[/CODE]


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

сделал

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

вот

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
File: C:\ProgramData\temp6.exe
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => -> Нет файла
ContextMenuHandlers1: [ANotepad++64] -> [CC]{B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Нет файла
FirewallRules: [TCP Query User{9A4CE8D7-BFE4-4BE8-993B-87026C9733B1}C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Block) C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
FirewallRules: [UDP Query User{6D016361-1BD9-40DA-9037-0B7AB8A46160}C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Block) C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Вам знакома ли следующее:
[CODE]
FirewallRules: [{FD216FD5-2A0F-46F7-A91C-B15D6C193992}] => (Allow) LPort=9494
FirewallRules: [{835D55A4-A11D-4D3A-846E-136A9AF21E25}] => (Allow) LPort=9393
FirewallRules: [{BD02D783-7183-4FFF-91C6-CC6DD10044AC}] => (Allow) LPort=9494
FirewallRules: [{D4BD90DE-AF73-4A57-A3A8-EEA89262468A}] => (Allow) LPort=9393
[/CODE]

нет не знаком данный код

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
C:\ProgramData\temp6.exe
FirewallRules: [{FD216FD5-2A0F-46F7-A91C-B15D6C193992}] => (Allow) LPort=9494
FirewallRules: [{835D55A4-A11D-4D3A-846E-136A9AF21E25}] => (Allow) LPort=9393
FirewallRules: [{BD02D783-7183-4FFF-91C6-CC6DD10044AC}] => (Allow) LPort=9494
FirewallRules: [{D4BD90DE-AF73-4A57-A3A8-EEA89262468A}] => (Allow) LPort=9393
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [/LIST]

Сообщите, что с проблемой?

Антивирус поставился, сайты открываются. Подскажите какой нибудь хороший антивирус?

Из платных рассмотрите Kaspersky, DrWeb из зарубежных Trend Micro. А так ничего конкретного, так как рекламой антивирусных продуктов не занимаюсь.

Проделайте завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите [URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL], сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [COLOR="#0000FF"]C:\SecurityCheck\SecurityCheck.txt[/COLOR]
Прикрепите этот файл к своему следующему сообщению.

сделал

Ознакомьтесь со следующей информацией.
------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 11.0.9600.18349 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761
Notepad++ v.6.9.2 [color=red][b]Внимание! [url=https://notepad-plus-plus.org/downloads/]Скачать обновления[/url][/b][/color]
Microsoft Office Excel Viewer v.12.0.6334.5000 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-bit) v.5.20.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.55 v.8.55 [color=red][b]Внимание! [url=https://go.skype.com/windows.desktop.download]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44994 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
uTorrent Web v.1.2.5 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.414 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.414 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 47.0.1 (x86 ru) v.47.0.1 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.2f1 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Google Toolbar for Internet Explorer v.1.0.0 [color=blue][b]<< Скрыта[/b][/color] [color=red][b]Внимание! Панель для браузера.[/b][/color] Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Голосовой помощник Алиса v.4.6.0.1790 [color=blue][b]<< Скрыта[/b][/color] [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------


На этом всё!