Помогите словил какой то вирус!!!

**way** · 20.02.2024, 23:07

Ребенок скачал какой то файл с торрента. Пытался установить.
После этого часть папок не открываются, и если открывается, через пару секунд закрывается. встроенный защитник винды постоянно отключен, не могу скачать с вашего сайта Autologger. все браузеры индифицируют его как вирус и опасный файл. . загрузился с Dr.Web LiveUSB. диска C не видит. вирусов не видит. патовая ситуация. помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.02.2024, 23:08

Уважаемый(ая) way, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**way** · 20.02.2024, 23:36

удалось с помощью китайского браузера, которому на все пофиг скачать логер.
при запуске стандартной винды логер не открывается.
в безопасном режиме удалось запустить. основной брайзер Яндекс.

**Vvvyg** · 21.02.2024, 06:33

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteService('WinSetupMon');
 DeleteFileMask('c:\programdata\reaitekhd', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\reaitekhd');
 DeleteDirectory('c:\programdata\windowstask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OfficeCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ServiceManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Дальнейшие действия - в обычном режиме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**way** · 21.02.2024, 11:34

добрый день.
к сожалению не смог выполнить скрипт.
выдает ошибку
Вложение 689368

**Sandor** · 21.02.2024, 11:50

AVZ следует использовать из Автологера, т.е. эту:

C:\Users\wayzt\Desktop\AVZ\AutoLogger\AV\av_z.exe

**way** · 21.02.2024, 12:59

добрый день.
необходимые файлы во вложении

**Vvvyg** · 21.02.2024, 20:07

Удалите расширение WinSafe - быстрый доступ к сайтам! в MS Edge, оно вредоносное.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Task: {DFD04A90-552C-44C0-AB1C-43D96BECA618} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Нет файла)
Task: {1ABD51A2-2F97-4415-8B1A-2CD71D4B23AE} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot => %systemroot%\system32\MusNotification.exe  ReadyToReboot (Нет файла)
Task: {845235A1-4F92-432D-AE44-B0B7FC809AE9} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Нет файла)
Task: {5159AE2D-ECE5-4F41-BA0C-044ABFC302B4} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Нет файла)
Task: {952D13D6-ABA4-4698-A52C-FCC7A55DBD20} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
HKLM\...\StartupApproved\StartupFolder: => "Adobe Reader Speed Launch.lnk"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: sfc /scannow
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему сообщению.

**way** · 21.02.2024, 21:30

необходимый файл во вложении.
скажите пожалуйста чем был заражен компьютер?
после выполнений ваших рекомендаций компьютер стал работать быстрее, кулер видеокарты/процессора стал меньше шуметь во время старта ОС и работы

**Vvvyg** · 21.02.2024, 21:57

Был майнер. Удалён скриптом в AVZ, далее дочистили последствия.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**way** · 21.02.2024, 21:59

спасибо большое

Помогите словил какой то вирус!!! (заявка № 228491)

Опции темы