Не могу запустить Autologger

[Dan_Fox]

Не могу запустить Autologger даже с правами администратора. Вылетает ошибка "Отказано в доступе". Ваш сайт через раз сворачивается. Любые антивирусные программы так же не могу запустить. Процессор грузится на 100%, но если нажать ALT+CTR+DEL и зайти в диспетчер задач и в производительность, то нагрузка на процессор моментально пропадает. С чего мне начать?

[Info_bot]

Уважаемый(ая) Dan_Fox, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Dan_Fox]

Не могу запустить Autologger даже с правами администратора. Вылетает ошибка "Отказано в доступе". Ваш сайт через раз сворачивается. Любые антивирусные программы так же не могу запустить. Процессор грузится на 100%, но если нажать ALT+CTR+DEL и зайти в диспетчер задач и в производительность, то нагрузка на процессор моментально пропадает. С чего мне начать?

Почитал другие темы. Хотел бы приложить файл результаты сканирования программой Universal Virus Sniffer, но не получается залить архив в "Прислать запрошенный карантин", так как не хватает места (ошибка 413 Request Entity Too Large).

[Vvvyg]

Поробуйте запустить Autologger не из папкизагрузок, переместите в другое место, переименуйте, из безопасного режима, если уж совсем никак.
А образ UVS можно выложить в облако и дать ссылку.

[Dan_Fox]

https://wdfiles.ru/LYvd Ссылка на файлообменник. Залил файл с результатом сканирования.

Autologger - куда я бы не переносил программы и как бы не переименовывал - это не помогает. Из безопасного режима все та же ошибка "Отказано в доступе".

[Vvvyg]

Поехали.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
deltsk %SystemDrive%\PROGRAMDATA\MICROSOFT\NETFRAMEWORK\MG8M3KCR\SYSFILESM.BAT
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 15 Trojan:Win64/DisguisedXMRigMiner [MS] 7

addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8 Trojan.Miner.83 [DrWeb] 7

addsgn A7679B19919AF4BAC461AE594CAF9BFACD99D70B7612C9950D3C4E7C50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 RiskWare.RemoteAdmin [Malwarebytes] 7

addsgn 1A76739A5583C28CF42B95BC0C1E5105D7FFFE044A08F67783C3C57FD3B7754CA8D6403636555A082FE8B4DC46D1487E3F9CE8B100515C7AD202ACA436EE2E47 12 Trojan.MulDrop24.1674 7

chklst
delvir

deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\NETFRAMEWORK\MG8M3KCR
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE
;-------------------------------------------------------------

deltmp
;---------command-block---------
deltsk SERVICE\WINSERV.EXE
delref HTTP://YAXNET.RU
regt 14
regt 18
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Dan_Fox]

Следовал инструкциям, файлы приложил.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
CHR DefaultSearchURL: Default -> hxxp://tupoisk.ru/?q={searchTerms}
2023-10-25 20:51 - 2023-10-27 12:27 - 000000000 ____D C:\Program Files\RDP Wrapper
2023-10-25 20:51 - 2023-10-25 20:51 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-10-25 20:51 - 2023-10-25 20:51 - 000000000 __SHD C:\ProgramData\princeton-produce
Unlock: C:\Program Files\7-Zip
FirewallRules: [UDP Query User{4A982830-9B23-4496-93E0-50B384FD2BBC}C:\users\даниил\desktop\phonerlite\phonerlite.exe] => (Allow) C:\users\даниил\desktop\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [TCP Query User{F676F71B-F702-4405-B344-E623B407D3D8}C:\users\даниил\desktop\phonerlite\phonerlite.exe] => (Allow) C:\users\даниил\desktop\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [UDP Query User{355E16E2-AC02-42BC-A021-D8D51A9370DB}C:\games\total war - warhammer\steamapps\common\total war warhammer\warhammer.exe] => (Allow) C:\games\total war - warhammer\steamapps\common\total war warhammer\warhammer.exe => Нет файла
FirewallRules: [TCP Query User{D0F760E7-F275-4C8B-8BE8-90A185B86C83}C:\games\total war - warhammer\steamapps\common\total war warhammer\warhammer.exe] => (Allow) C:\games\total war - warhammer\steamapps\common\total war warhammer\warhammer.exe => Нет файла
FirewallRules: [{FA60FD33-B058-4222-9B77-F49DF7CDFCEE}] => (Allow) C:\Program Files (x86)\ASUS\GameFirst\GameTurbo.exe => Нет файла
FirewallRules: [{862C4D8A-1A06-4491-A17B-765777C2FBB1}] => (Allow) C:\Program Files (x86)\ASUS\GameFirst\DUTUtil.exe => Нет файла
FirewallRules: [TCP Query User{9D6B85FE-21C1-40F9-8018-C0DEB605BEAB}C:\windows.old\program files (x86)\phonerlite\phonerlite.exe] => (Allow) C:\windows.old\program files (x86)\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [UDP Query User{895D17D3-B3C6-460A-A42C-C42C6C6F0F70}C:\windows.old\program files (x86)\phonerlite\phonerlite.exe] => (Allow) C:\windows.old\program files (x86)\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [{90DCD0A5-2BA0-4BFB-8E1F-83D3643F7B97}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Ultimate Booster Experience\UltimateBooster(SteamVR)\UltimateBooster.exe => Нет файла
FirewallRules: [{7D159789-B906-49C8-B3CE-38A5D9A7FF97}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Ultimate Booster Experience\UltimateBooster(SteamVR)\UltimateBooster.exe => Нет файла
FirewallRules: [{4B16F8BE-6D67-40DF-8737-18AC3C2B4D6E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Ultimate Booster Experience\UltimateBooster(Oculus)\UltimateBooster.exe => Нет файла
FirewallRules: [{EDDC0FFC-D105-4ADE-B8C3-4AFBB4EF835E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Ultimate Booster Experience\UltimateBooster(Oculus)\UltimateBooster.exe => Нет файла
FirewallRules: [TCP Query User{101E0DA6-F08F-486B-BDEB-1FB178B63D21}C:\program files (x86)\steam\steamapps\common\thqbcnp1\gothicremake\binaries\win64\gothicremake.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\thqbcnp1\gothicremake\binaries\win64\gothicremake.exe => Нет файла
FirewallRules: [UDP Query User{9225F14D-BEC4-4507-BD2B-B220EA3F4B4C}C:\program files (x86)\steam\steamapps\common\thqbcnp1\gothicremake\binaries\win64\gothicremake.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\thqbcnp1\gothicremake\binaries\win64\gothicremake.exe => Нет файла
FirewallRules: [{C9610366-D0C7-4936-9959-5610E1921F16}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Home2.exe => Нет файла
FirewallRules: [{606B1057-9166-4C6E-9F7A-7E7713FCF391}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Home2.exe => Нет файла
FirewallRules: [{097D8733-3B98-4CBC-83C4-241ACF8C7785}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Home2\Binaries\Win64\Home2-Win64-Shipping.exe => Нет файла
FirewallRules: [{A3236B1A-83E2-4E89-9325-8B2BA65FFE7C}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Home2\Binaries\Win64\Home2-Win64-Shipping.exe => Нет файла
FirewallRules: [{3022BC30-C13B-492E-9746-ED861BA52653}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Engine\Binaries\Win64\UnrealCEFSubProcess.exe => Нет файла
FirewallRules: [{47ADA5FA-A9D5-4508-8627-13D782699B3D}] => (Allow) C:\Program Files\Oculus\Support\oculus-worlds\Engine\Binaries\Win64\UnrealCEFSubProcess.exe => Нет файла
FirewallRules: [{55C71CB9-FFA8-41C6-8871-F14D9E5A1D78}] => (Allow) C:\Users\Даниил\AppData\Local\Temp\7zS1D22\EasyInst64.exe => Нет файла
FirewallRules: [{52D37E58-7F23-4B5E-A953-23659F636EEC}] => (Allow) C:\Users\Даниил\AppData\Local\Temp\7zS1D22\EasyInst64.exe => Нет файла
FirewallRules: [{3480DF8B-2E8C-4E3F-91FF-82E0160EEDDB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Serious Sam VR The Second Encounter\Bin\x64\SamTSE_VR.exe => Нет файла
FirewallRules: [{DA81E142-AE8B-4CE7-82D4-6AEEE2C1DA94}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Serious Sam VR The Second Encounter\Bin\x64\SamTSE_VR.exe => Нет файла
FirewallRules: [{CC11D7BB-FA3D-4FD0-91EE-D192E2A54767}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Conscious Existence - A Journey Within\Player.exe => Нет файла
FirewallRules: [{D170DC3C-27C3-4C1F-9AD2-4DCC3885F3E5}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Conscious Existence - A Journey Within\Player.exe => Нет файла
FirewallRules: [TCP Query User{A8D3F487-514B-4ABE-8E6D-F6218F3D029A}C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe] => (Allow) C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [UDP Query User{E68D8D82-CBA0-48F0-B01D-5B07FEE70F71}C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe] => (Allow) C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [{1F7E2986-D7A8-40F8-92F3-CD0C945AE094}] => (Block) C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [{1632D2E6-36D3-4ABB-A9FC-50BCF79F0DD0}] => (Block) C:\users\даниил\appdata\local\temp\rar$exa16348.38284\phonerlite\phonerlite.exe => Нет файла
FirewallRules: [{B15E202A-8CD6-48A3-95DF-C79B9D1EE92B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Days Gone\BendGame\Binaries\Win64\DaysGone.exe => Нет файла
FirewallRules: [{AA7A78BF-E763-4CDA-906A-BE86BBF3480E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Days Gone\BendGame\Binaries\Win64\DaysGone.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Dan_Fox]

Файл прилагаю. Процессор под 100% больше не грузится. Все стало как прежде. Спасибо большое за помощь!!!!!!!

[Vvvyg]

Утилита AV_block_remove запрашивала удалениее пользователя John, созданного майнером, почему отказались?

Проверьте, штатный антивирус "Защитник" сейчас работает?

[Dan_Fox]

Штатный работает, только видит вирус какой-то и просит проверить компьютер. Нужно запустить проверку и удалить все что он найдет?

[Vvvyg]

Может, это старый детект? Покажите подробности, чтобы видно было дату/время и путь к вирусу.

[Dan_Fox]

Я разобрал, это KeyGen для операционной системы проявляет себя. Все нормально, спасибо!!!

[Vvvyg]

Выполните ещё такое исправление в FRST:

Код:

Start::
CMD: net user John /delete
End::

и прикрепите новый Fixlog.txt.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Dan_Fox]

Файлы приложил

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Контроль учётных записей пользователя отключен (Уровень 1)

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

7-Zip 19.02 alpha (x64) v.19.02 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Обновите, особенно WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Reg Organizer 8.60 v.8.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 9.0.1.104 v.9.0.1.104 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

И всё на этом.

[Dan_Fox]

Спасибо большое что помогли. Иначе мне пришлось бы накатывать операционку!!!!