Однозначно подхватил какую-то заразу.
Она подменила host. закрывает диспетчер/проводник и нагружает систему.
Printable View
Однозначно подхватил какую-то заразу.
Она подменила host. закрывает диспетчер/проводник и нагружает систему.
Уважаемый(ая) [B]BeeRed[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
А, тут ещё проблема, автологер не хочет запускаться не из безопасного режима. И наверное не все процессы будут отображены в скане системы, так как проверка была осуществлена в безопасном режиме.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Логи не из безопасного режима.
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/ZZNRdX"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима [B]с поддержкой сет[/B]и.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Вот буквально перед вашим ответом прогнал ав блок ремув, он и дал возможность запустить стандартный автолог.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3297733201-181983091-1449609188-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
S4 AAErrorPort; C:\Users\NEPALI~1\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe [X] <==== ВНИМАНИЕ
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AeroadminService => ""="Service"
FirewallRules: [{EEA3D158-65C7-4083-BB1B-94A988A0900A}] => (Allow) C:\Users\NePaLimSO\Downloads\AeroAdmin.exe => Нет файла
FirewallRules: [{EAE075E9-8C1B-4114-B684-AB30E90AE8C7}] => (Allow) C:\Users\NePaLimSO\Downloads\AeroAdmin.exe => Нет файла
FirewallRules: [{54444F69-26D8-491D-BD63-CA1814509622}] => (Allow) C:\Users\NePaLimSO\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{4C575761-335D-4D2D-90C3-61D2642B2504}] => (Allow) C:\Users\NePaLimSO\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{EB39B5B0-E24A-4064-ADD8-3F14AB6FF23B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{6F87BD59-EF55-4588-8505-E8FDDF1AFBCD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{BFE7BBFD-CA12-42A8-84E7-D61E8E49E9D9}] => (Block) LPort=139
FirewallRules: [{BB4870AB-2E0C-429F-B129-9E2C4C2338EE}] => (Block) LPort=445
FirewallRules: [{288BCB68-14E3-4E6F-80C8-D62674C0FE75}] => (Block) LPort=139
FirewallRules: [{8FF0112C-2984-4614-A4D9-194C2767D742}] => (Block) LPort=445
FirewallRules: [{379B7005-197F-4837-B27E-F1ECE33FBE54}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
лог
И такое ещё исправление и новый fixlist.txt приложите:[CODE]Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
CreateRestorePoint:
End::[/CODE]
новый лог
Не получилось задуманное.
Для верности выполните исправление в безопасном режиме:[CODE]Start::
Unlock: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
End::[/CODE]И новый Fixlog.txt сюда.
новый лог
Теперь порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
лог
[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color][/QUOTE]
Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.
[QUOTE]Учетная запись гостя включена. Пароль не установлен.[/QUOTE]
Если нет локальной сети с беспарольным доступам к расшаренным папкам и принтерам, учётку гостя рекомендуется отключить.
[QUOTE]Oracle VM VirtualBox 6.0.24 v.6.0.24 [color=red][b]Внимание! [url=https://www.virtualbox.org/wiki/Downloads]Скачать обновления[/url][/b][/color]
OpenOffice 4.1.7 v.4.17.9800 [color=red][b]Внимание! [url=https://www.openoffice.org/download/index.html]Скачать обновления[/url][/b][/color]
WinRAR 5.91 (64-разрядная) v.5.91.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]
Эти приложения очень желательно обновить, а WinRar - обязательно:
[URL="https://habr.com/ru/news/755612/"]В WinRAR версии 6.23 устранена критическая уязвимость CVE-2023-40477, позволяющая запускать в системе вредоносный код[/URL]
И всё на этом.
В очередной раз помогли, спасибо!