Не даёт открыть половину программ, папок и сайтов, смог скачать др веб, после скана говорит что удалил угрозу, но майнер остался. авз и авбр после пары секунд скана закрывает сам. Что мне делать?
логи тоже не получается собрать..
Printable View
Не даёт открыть половину программ, папок и сайтов, смог скачать др веб, после скана говорит что удалил угрозу, но майнер остался. авз и авбр после пары секунд скана закрывает сам. Что мне делать?
логи тоже не получается собрать..
Уважаемый(ая) [B]CathrineAdam[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
[quote="CathrineAdam;1525194"]авбр после пары секунд скана закрывает сам[/quote]
Переименуйте файл AVbr.exe в, например, a-v_br.exe и пробуйте запустить.
Если тоже не получится, запустите его в безопасном режиме.
После того, как он отработает и компьютер перезагрузится, прикрепите его отчёт в виде файла [b]AV_block_remove_дата-время.log[/b] и соберите CollectionLog по [url=https://virusinfo.info/pravila.html]правилам[/url].
[QUOTE=Sandor;1525196]отчёт в виде файла [B]AV_block_remove_дата-время.log[/B][/QUOTE]
автологер
И где же AV_block_remove_дата-время.log?
[b]Vvvyg[/b], а вот и он
Через Панель управления - Удаление программ - удалите нежелательное ПО:
[quote]
Bonjour
[/quote]
Malwarebytes version 4.3.0.98 - устаревшая версия, тоже пока удалите.
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
+ Ещё раз пролечитесь AVbr, до того как собирать логи FRST, но уже из под обычного режима.
[b]regist[/b],
В целом порядок. Немного мусор почистим.
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-818494727-3219944268-3036770894-1000\...\MountPoints2: {c167ff33-37f7-11eb-ae15-50465d75fa52} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-818494727-3219944268-3036770894-1000\...\MountPoints2: {c167ff3b-37f7-11eb-ae15-50465d75fa52} - F:\HiSuiteDownLoader.exe
Task: {20B49B13-6EC9-412A-8BFD-4AE4C49000AE} - System32\Tasks\User => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v User /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S2 MBAMInstallerService; C:\Users\User\AppData\Local\Temp\MBAMInstallerService.exe [106183880 2022-07-27] (Malwarebytes Inc -> Malwarebytes) <==== ВНИМАНИЕ
S2 MBAMService; "E:\Programms\MBAMService.exe" [X]
Unlock: C:\ProgramData\FingerPrint
2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 __SHD C:\ProgramData\FingerPrint
2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 ____D C:\Users\User\AppData\Roaming\RMS_settings
2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 ____D C:\Program Files (x86)\IObit
2022-07-26 21:56 - 2022-07-26 21:56 - 000000000 ___HD C:\Users\John
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData:482EE99B1E21CE8C [217]
AlternateDataStreams: C:\ProgramData:7B960018726E53D1 [217]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [638]
AlternateDataStreams: C:\Users\All Users:482EE99B1E21CE8C [217]
AlternateDataStreams: C:\Users\All Users:7B960018726E53D1 [217]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [638]
AlternateDataStreams: C:\Users\Все пользователи:482EE99B1E21CE8C [217]
AlternateDataStreams: C:\Users\Все пользователи:7B960018726E53D1 [217]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [638]
AlternateDataStreams: C:\ProgramData\Application Data:482EE99B1E21CE8C [217]
AlternateDataStreams: C:\ProgramData\Application Data:7B960018726E53D1 [217]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [638]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [638]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [638]
AlternateDataStreams: C:\Users\User\AppData\Local\4o8K8OwtR7IK:hgCZcWgIF3dc76cEg6 [2288]
AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:HCzOyrZpEet8xlOAvyu [1992]
FirewallRules: [{1DEDD06F-03E7-4791-8C8B-8718E5DC59BD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{614DB207-A644-47E4-AAF7-220F5772FE5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{9E5E94DB-55D1-402D-9420-8E89077DF439}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CE51A597-5A0B-4A84-8B9E-7EE348BF1098}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
[b]Sandor[/b],[IMG]https://media.giphy.com/media/3o6Zt6KHxJTbXCnSvu/giphy.gif[/IMG]
Отлично, завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]