Майнер меняет текст сообщения внутри сообщения для данного форума, не даёт запустится avz, frst, autologger, av blocker

[Desteeerslav]

Здравствуйте, Майнер меняет текст сообщения внутри сообщения для данного форума, не даёт запустится avz(закрывает после запуска сканирования, пытался создать ярлык с иным названием - также закрывает), frst, autologger(доходит до этапа открытия браузеров и все, логов нет), av blocker remove с сообщением "операция отменена из-за ограничений, действующих на этом компьютере, обратитесь к сис.админу" , а также нагружает систему на сотку по цп и видеокарте, блокирует доступ к антивирусным сайтам/утилитам. В локальную политику безопасности не пускает, моментально закрывает . При поиске в диспетчере задач нашел похожий на Майнер процесс "winserv.exe", когда пытался нажать подробнее о процессе, то тут же закрывалось контекстное меню с информацией, попытка удалить вручную ни к чему не привела.

UPD: Догадался прибегнуть к безопасному режиму, там же и запустил AV blocker. Логи AV blocker и Autologger прикладываю ниже

UPD2: Приложил логи от FRST.

[Info_bot]

Уважаемый(ая) Desteeerslav, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\S-1-5-21-382056328-2639788825-1897991522-1001 (empty)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Desteeerslav]

Сделано и готово.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [Нет файла]
S3 LogWatch; C:\CA_LIC\LogWatNT.exe [X]
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows*10.lnk -> C:\Windows10Upgrade\Windows10UpgraderApp.exe (Нет файла) <==== Cyrillic
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [293]
AlternateDataStreams: C:\ProgramData\987383248:219F05F805 [3442]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [293]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\TEMP:DED17083 [294]
AlternateDataStreams: C:\ProgramData\vzwjhloa.zxp:5E458DE1C2 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Adobe Photoshop CS6.lnk:904EEFCC49 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\AllFusion Process Modeler.lnk:C7399978EF [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2020.lnk:708E5666EE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\paint.net.lnk:C629424870 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2554]
AlternateDataStreams: C:\Users\shtat\Application Data:NT [40]
AlternateDataStreams: C:\Users\shtat\Application Data:NT2 [293]
AlternateDataStreams: C:\Users\shtat\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\shtat\AppData\Roaming:NT2 [293]
BHO-x32: Нет имени -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Desteeerslav]

Готово.

[Vvvyg]

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Деинсталлируйте Adobe Flash Player 32 PPAPI, не поддерживается и не нужен давно.

На этом всё.

[Desteeerslav]

Спасибо Вам огромное, не первый раз уже выручаете! Премного благодарен.