-
Junior Member
- Вес репутации
- 32
Помогите словил какой то вирус!!!
Ребенок скачал какой то файл с торрента. Пытался установить.
После этого часть папок не открываются, и если открывается, через пару секунд закрывается. встроенный защитник винды постоянно отключен, не могу скачать с вашего сайта Autologger. все браузеры индифицируют его как вирус и опасный файл. . загрузился с Dr.Web LiveUSB. диска C не видит. вирусов не видит. патовая ситуация. помогите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) way, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Junior Member
- Вес репутации
- 32
удалось с помощью китайского браузера, которому на все пофиг скачать логер.
при запуске стандартной винды логер не открывается.
в безопасном режиме удалось запустить. основной брайзер Яндекс.
-
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
Код:
begin
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
DeleteService('WinSetupMon');
DeleteFileMask('c:\programdata\reaitekhd', '*', true);
DeleteFileMask('c:\programdata\windowstask', '*', true);
DeleteDirectory('c:\programdata\reaitekhd');
DeleteDirectory('c:\programdata\windowstask');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OfficeCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ServiceManager');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Дальнейшие действия - в обычном режиме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
Код:
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
-
-
Junior Member
- Вес репутации
- 32
добрый день.
к сожалению не смог выполнить скрипт.
выдает ошибку
Вложение 689368
-
AVZ следует использовать из Автологера, т.е. эту:
C:\Users\wayzt\Desktop\AVZ\AutoLogger\AV\
av_z.exe
-
-
Junior Member
- Вес репутации
- 32
добрый день.
необходимые файлы во вложении
-
Удалите расширение WinSafe - быстрый доступ к сайтам! в MS Edge, оно вредоносное.
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
Task: {DFD04A90-552C-44C0-AB1C-43D96BECA618} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe LogonUpdateResults (Нет файла)
Task: {1ABD51A2-2F97-4415-8B1A-2CD71D4B23AE} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot => %systemroot%\system32\MusNotification.exe ReadyToReboot (Нет файла)
Task: {845235A1-4F92-432D-AE44-B0B7FC809AE9} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC ReadyToReboot (Нет файла)
Task: {5159AE2D-ECE5-4F41-BA0C-044ABFC302B4} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery ReadyToReboot (Нет файла)
Task: {952D13D6-ABA4-4698-A52C-FCC7A55DBD20} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display => %systemroot%\system32\MusNotification.exe Display (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла)
HKLM\...\StartupApproved\StartupFolder: => "Adobe Reader Speed Launch.lnk"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: sfc /scannow
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему сообщению.
-
-
Junior Member
- Вес репутации
- 32
необходимый файл во вложении.
скажите пожалуйста чем был заражен компьютер?
после выполнений ваших рекомендаций компьютер стал работать быстрее, кулер видеокарты/процессора стал меньше шуметь во время старта ОС и работы
-
Был майнер. Удалён скриптом в AVZ, далее дочистили последствия.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 32