Здравствуйте. Закрывает браузер на сомнительных по его мнению сайтах, запросах в поисковике. Закрывает мсконфиг окно через вин+R. Не дает установить антивирус. Нет точек восстановления (минимум одна должна была быть созданная вручную) Я попробовал чистить тем что было на компьютере, но оно устарело лет на 5 или больше и подтерло не то что надо. В безопасном режиме таких приколов нет. Виндов 10, антивируса нет, встроенный отключен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Phobos010, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.Код:O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1 O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_update.exe (file missing) O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Home\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing) O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_update.exe (file missing) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A5FA901-FFD6-4B27-9B74-2AF76E9A741A} - \Microsoft\Windows\Setup\EOSNotify2 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{991B6E48-160D-4553-A632-64EB9388B533} - \Microsoft\Windows\Setup\EOSNotify (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Outbyte\Driver Updater (empty) O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications) O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Вот.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ Task: {7D66EDF1-C184-442C-B3F1-CF55015AEFC7} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => %windir%\system32\sipnotify.exe -LogonOrUnlock (Нет файла) Task: {375B9616-847E-455C-A1FF-B3CC3E14CFE5} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => %windir%\system32\sipnotify.exe -Daily (Нет файла) Task: {8BBC40C1-D6DA-4CA0-BAB7-A83A2A90987E} - System32\Tasks\Microsoft\Windows\SysFilesF\RecoveryHosts => C:\ProgramData\Microsoft\DRM\sOBF1yQwoDJ\SysFilesF.bat (Нет файла) <==== ВНИМАНИЕ Task: {1CAF5FA9-E42F-4DCC-AE66-1863A9D27E79} - System32\Tasks\Opera scheduled Autoupdate 1599137670 => C:\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла) Task: {A64EE682-D8F0-41FB-84A4-78092BB3097B} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding (Нет файла) Task: {F68FE8CD-551F-40E2-8A8C-1D6D9731F40F} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\20.8.1.83\service_update.exe --repair (Нет файла) ManualProxies: 1127.0.0.1:2080 <==== ВНИМАНИЕ FF Plugin: @java.com/DTPlugin,version=11.261.2 -> C:\Program Files\Java\jre1.8.0_261\bin\dtplugin\npDeployJava1.dll [Нет файла] FF Plugin: @java.com/JavaPlugin,version=11.261.2 -> C:\Program Files\Java\jre1.8.0_261\bin\plugin2\npjp2.dll [Нет файла] FF Plugin HKU\S-1-5-21-1736526909-1764787782-3757360092-1000: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [Нет файла] CHR HKU\S-1-5-21-1736526909-1764787782-3757360092-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] CHR HKLM-x32\...\Chrome\Extension: [makcojoppodhcgmmchohadhpkicoafka] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul del /s /q C:\Windows\Temp\*.* >nul del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены следующие пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender
Нажмите кнопку "Scan"
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему сообщению.
WBR,
Vadim
Вот.
Системный антивирус, Защитник/Defender, сами извели, был отключен в сборке, или последствия зловреда?
Деинсталлируйте бесполезный Loaris Trojan Remover.
Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.
Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.
Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.
WBR,
Vadim
Я его отключил, у меня тостер и слышать и видеть нагрузку от антивируса я не хотел. Хотел как было на вин7. А антивирус на вин 7 стоял есед, но без ключа, а обновлять ежемесячно не хотел и отказался от антивируса вообще, раз он все равно ничего не делает. Если бы с пустой головой не лез на неизвестные сайты, что бы решить одну проблему о которой мне прожужжали уши, я бы не скачал это.
Отключал уведомления, браудмэр, сбор данных, обновление виндовс, еще какие процессы грузящие цп висящие в процессе.
Все остальное сейчас сделаю.
Будет что-то еще, или мне можно лезть (мучатся) обратно в реестр и все отключать? Или не отключать, но телеметрию надо будет посмотреть.
А почему мигают иконки на рабочем столе, словно нажал "обновить" через пкм? Еще в панели управления в мелких значках папка Biometrics, Windows Update и другое. Если есть где-то, что-то еще, то я туда не ходил и не видел.
Последний раз редактировалось Phobos010; 22.02.2025 в 19:01.
Толку особого от отключения всяких "лишних" сервисов, как по мне, нет, а "дооптимизировать" систему до её неработоспособности легко.
По миганию значков универсальных решений не видел.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
Сделал.
Наверно мигают значки из-за того, что все по умолчанию программы слетели и видна их постоянно сбрасывает. И там другие приколы. К примеру не могу открыть образ через demontools (в доступе отказано). Я вин10 поверх вин7 ставил (сама поставилась), если я восстановление точки недельной давности сделаю, это вернет систему в норму, чтобы ничего трогать больные не надо было? Или теперь надо с новыми приколами разбираться? А еще могут быть вопросы к реестру и групповым политикам, но это надо искать что там создавать и выключать надо, чтобы к примеру сообщение об выключенном брандмауэр не выскакивало, хотя вроде все стоит, а оно выскакивает. Антивирус встроенный выглядит не работающим, а я не удивлюсь, если он частично работает, раз мне сует окно с тем, что он не хочет, что бы я открывал этот экзешник, а шел в настройки и клика "разрешить".
Вкратце:
1. Имеет ли смысл сделать восстановление системы из точки недельной давности, чтобы вернуть к состоянию, когда можно ничего не трогать как сейчас? Это вообще сработает?
2. Мерцание иконок, возможна происходит из-за постоянного сброса программ по умолчанию к предустановленным. После перезагрузки все возвращается к предустановленному.
3. Не открывает .iso через DaemonTools - “В доступе отказано” - возможно шутки от встроенного антивируса, который не работает, но работает.
4. Возможно частичная работа антивируса - не даёт запускать некоторые exe, нужно идти в свойства программы и включать “Разрешить”.
?. Кто его знает что еще…
1. Майнер словили 21-го, так что, с большой долей вероятности, откат даже на точку от 20.02 вернёт систему в норму.
2. Маловероятно. Зачем вообще DaemonTools, проводник сам открывает и монтирует образы?
4. Что именно "разрешить"? Может, права слетели?
WBR,
Vadim
Сделал восстановление самое последние, которое было. Выглядит нормально и ощущается так же. Пришлось переустановить хром и снести/переустановить архиваторы и джава по вашей рекомендации. Винрар не хотел удаляться выдавая запрет от системы, но после перезагрузки удалось удалить директорию с программой.
После установку в хроме были какие-то не запущенные расширения яндекс, пдф и гугл диск. Удалил. Папку с данными хрома в AppData я убрал в другое место перед установкой забрав оттуда только файлы закладок в новую.
2. Не знаю такого, умеет она так или нет.
4. Это я в первый раз .iso включал на вин10 пытаясь смонтировать. Вернусь к этому вопросу, когда мне нужно будет смонтировать образ в вин10 (никогда).
Спасибо за помощь.
Ваши права в разделе
Ответить с цитированием
