Добрый день.
Поймал какую-то заразу, просьба помочь с удалением.
Printable View
Добрый день.
Поймал какую-то заразу, просьба помочь с удалением.
Уважаемый(ая) [B]rainb[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - HKCU\..\Run: [Dmitriy] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - HKU\S-1-5-18\..\Run: [Synapse3] = C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (file missing) (User 'LocalSystem')
O22 - Tasks: (damaged) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_6d80c4e5e6c9db97\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (user missing)
O22 - Tasks: Dmitriy - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Dmitriy /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"[/code]
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe"]
>>> "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Ubisoft Connect.lnk" -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftConnect.exe"]
>>> "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Uninstall.lnk" -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Готово.
Встроенный "Защитник" сами отключали полностью?
Проблема решена?
Сайты перестали появляться. Защитник сам не отключал и он по прежнему не работает. Включить не получается - "функция заблокирована администратором"
Попробуем восстановить.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
ask: {0772CCC7-7D01-434B-9E67-0E32ACFB872E} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Нет файла)
FirewallRules: [TCP Query User{08F523D2-5DB7-4C4D-B7FB-99C087ADA0D2}C:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) C:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [UDP Query User{8ED127C1-DB9E-46CC-95C7-E646A076C999}C:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) C:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [TCP Query User{F56BEBD2-7DD4-41D9-ACCE-513CB88ACA85}C:\games\halo infinite\haloinfinite.exe] => (Block) C:\games\halo infinite\haloinfinite.exe => Нет файла
FirewallRules: [UDP Query User{32EBD0CC-934B-40D0-99DF-7A5FB836F22B}C:\games\halo infinite\haloinfinite.exe] => (Block) C:\games\halo infinite\haloinfinite.exe => Нет файла
FirewallRules: [TCP Query User{16320A1D-71CD-4384-91D7-9110E1E8E446}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{9564B79F-EBDA-4A17-9D71-5B9DBCF01ED1}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{BE0D1829-CF50-4B07-83DB-1A58841D1D77}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{3F62B5F2-7A74-4FDD-B4AB-A761E299925F}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{1D5F3DD3-BD15-46E2-9327-1186A3BBF983}C:\program files (x86)\call of duty modern warfare\modernwarfare.exe] => (Allow) C:\program files (x86)\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [UDP Query User{D5DEF91D-2764-48E8-BDA7-ABEC67D569E7}C:\program files (x86)\call of duty modern warfare\modernwarfare.exe] => (Allow) C:\program files (x86)\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [TCP Query User{CF3367B5-DC28-43DD-BE1C-3709174EF3EB}C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe] => (Allow) C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe => Нет файла
FirewallRules: [UDP Query User{5CD28891-1D67-4D74-BA26-40E98604A7B1}C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe] => (Allow) C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe => Нет файла
FirewallRules: [TCP Query User{41F8AA7A-AB11-479E-AC86-12AB0BFDE5AC}C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [UDP Query User{649918EC-BC8E-4CAC-9A30-2FA92A15BA04}C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{D990FC86-7E35-40F8-9F2B-F3C9BD1ABC2E}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{88EA5787-EB6B-45DA-8985-AD94E2F84174}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [{489D69F8-873B-42C1-86BF-F55FBCECD16E}] => (Allow) C:\Program Files\Epic Games\WatchDogsLegion\bin\WatchDogsLegion.exe => Нет файла
FirewallRules: [{F86510F3-F59A-461F-9A82-9586FEBC5317}] => (Allow) C:\Program Files\Epic Games\WatchDogsLegion\bin\WatchDogsLegion.exe => Нет файла
FirewallRules: [{DCA0BA42-7D0C-44AA-83AB-BE91C3AD4AB9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Vampyr\AVGame\Binaries\Win64\AVGame-Win64-Shipping.exe => Нет файла
FirewallRules: [{39098E60-C35E-48E9-BCC9-E8C59F11F016}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Vampyr\AVGame\Binaries\Win64\AVGame-Win64-Shipping.exe => Нет файла
FirewallRules: [{9C128823-AD19-4E5D-9570-2A0DE6E685D7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла
FirewallRules: [{D59C47D7-8187-46DB-9DEA-DF7448456390}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла
FirewallRules: [TCP Query User{1ADB3478-E898-416E-A02E-AD4B3A250086}C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4081C487-37CE-4367-BBA3-5A85BCFBA39A}C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{8DC5BECE-B0C8-497E-8B95-68F4D8ABC117}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{2CEEA6FA-B38E-43D2-BD6A-7B180ED336B7}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению (можно в архиве).
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Не помогло. Антивирус не работает :(
[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
сделал
[url]https://cloud.mail.ru/public/62xx/q7GdTVVPh[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
"Служба антивирусной программы Microsoft Defender" - стоял автоматический запуск, но запущена не была. После запуска вручную, антивирус заработал.
Спасибо за помощь
Тогда завершаем.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.