Вирус блокирует установку антивирусов

**Devil_Breaker** · 02.03.2021, 04:31

Вирус блокирует установку антивирусов (особенно avast), так же невозможно было зайти на сайт антивирусных программ и ошибка "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к администратору" возникающая при установке этих программ. Последние две проблемы удалось устранить.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.03.2021, 04:33

Уважаемый(ая) Devil_Breaker, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 02.03.2021, 07:50

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
После перезагрузки сделайте такой лог.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Devil_Breaker** · 02.03.2021, 13:29

Прикрепляю файлы

**Vvvyg** · 02.03.2021, 14:36

Удалите расширение Find-it.pro в Хроме.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
roupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Arsik\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{0b8c0f47-1f23-4884-bca7-a2f8b9f50e86}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{0b8c0f47-1f23-4884-bca7-a2f8b9f50e86}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{57c8460f-9afb-4608-afc4-3c3758840f6a}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{57c8460f-9afb-4608-afc4-3c3758840f6a}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{741f3532-3705-4499-9fc1-579c93e863c8}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{741f3532-3705-4499-9fc1-579c93e863c8}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{7fae91c5-a613-4dc3-b5c5-28a62d40348b}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{7fae91c5-a613-4dc3-b5c5-28a62d40348b}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{8b9704f3-9a2b-4b36-94e5-ebaf8e5fefd6}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{bf98cc80-3f68-11e9-8d46-806e6f6e6963}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{c28f9cbe-f3ba-4520-a831-c36c81bdcc5a}: [NameServer] 185.201.47.42,142.4.214.15
Tcpip\..\Interfaces\{c28f9cbe-f3ba-4520-a831-c36c81bdcc5a}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{d87eb148-10ef-4929-ab56-b8661427e7ee}: [NameServer] 185.201.47.42,142.4.214.15
C:\Users\Arsik\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
S3 DAZ8ZGx; \??\C:\Users\Arsik\AppData\Local\Temp\DAZ8ZGx.sys [X] <==== ВНИМАНИЕ
S3 Guijiuzchin; \??\C:\Windows\system32\Guijiuzchin.sys [X]
S3 pdE17iPd; \??\F:\Desktop\pdE17iPd.sys [X]
S3 PEd16bFU; \??\C:\Users\Arsik\AppData\Local\Temp\PEd16bFU.sys [X] <==== ВНИМАНИЕ
S3 yDT36EBD; \??\C:\Users\Arsik\AppData\Local\Temp\yDT36EBD.sys [X] <==== ВНИМАНИЕ
CMD: type C:\rdpwrap.txt
2021-02-28 16:27 - 2021-03-02 02:33 - 000001612 _____ C:\rdpwrap.txt
Folder: C:\rms
2020-05-13 20:19 - 2020-05-13 20:19 - 000001308 _____ () C:\ProgramData\yandexBrowserDownloader.exe
AdShield 1.0.0.0 (HKLM-x32\...\{2b1e0302-a0d1-4325-9f53-5ad1e0b46db3}) (Version: 1.0.0.0 - Limbo Solutions) Hidden
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\Arsik\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-261330077-1982691598-1693970528-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-261330077-1982691598-1693970528-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
HKU\S-1-5-21-261330077-1982691598-1693970528-1001\...\StartupApproved\Run: => "App Updater"
FirewallRules: [{63F699E9-8E01-4145-A884-C4AD24B207BF}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe (Limbo Solutions) [Файл не подписан]
FirewallRules: [{B34F7F3B-C8B4-44D1-9D8A-F4094991A8CC}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe (Limbo Solutions) [Файл не подписан]
2021-03-02 03:57 - 2021-01-18 19:42 - 000000000 ____D C:\Program Files (x86)\AdShield
FirewallRules: [{8C294DC1-950C-479D-9970-996589FF9A6E}] => (Allow) 㩃啜敳獲䅜獲歩䅜灰慄慴剜慯業杮瑜捯塜䅺䅂攮數 => Нет файла
FirewallRules: [{FE1FDFA7-5FB7-4C3A-84CE-2EB42EE2444A}] => (Allow) 㩃啜敳獲䅜獲歩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D3D6405F-D949-4AF9-8DA5-43930F66FC81}] => (Allow) 㩃啜敳獲䅜獲歩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{5E485D25-450A-4948-B865-19F73734D4F4}] => (Allow) 㩃啜敳獲䅜獲歩䅜灰慄慴剜慯業杮瑜捯汜婉⹅硥e => Нет файла
FirewallRules: [{DE39A51B-1491-4FC2-9F21-8D6872A03FEA}] => (Allow) C:\Users\Arsik\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{028778D4-D46C-415F-AE71-AA1F2CE16E65}] => (Allow) C:\Users\Arsik\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{D2A9BAE0-BD8A-4FD5-A7A6-4B977A55DE6E}] => (Allow) C:\Users\Arsik\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2b1e0302-a0d1-4325-9f53-5ad1e0b46db3}" /f /reg:32
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Devil_Breaker** · 02.03.2021, 14:57

Прикрепляю файл

- - - - -Добавлено - - - - -

Проблема решена
Спасибо

**Vvvyg** · 02.03.2021, 21:28

Дочистим по мелочи.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
C:\rms
CMD: ipconfig /flushdns
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**Devil_Breaker** · 03.03.2021, 05:02

Прикрепляю файл

**Vvvyg** · 03.03.2021, 07:41

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И всё на этом.

Вирус блокирует установку антивирусов (заявка № 226465)

Опции темы