Снова проблемы с вирусом

**way** · 24.02.2024, 01:15

Добрый день.
Несколько дней назад обращался к вам за помощью.
Вроде бы все решилось, но сегодня на компе отказался работать штатный защитник винды.
Постоянно ругается на какие то угрозы, ни чего не удаляет и постоянно долбит своими сообщениями.
помогите пожалуйста

Вложение 689377 Вложение 689378 Вложение 689379

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.02.2024, 01:16

Уважаемый(ая) way, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 26.02.2024, 12:07

Здравствуйте!

А почему собрали логи в безопасном режиме?

Переделайте в нормальном и дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**way** · 26.02.2024, 14:32

добрый день.
Сделал все как вы просили

- - - - -Добавлено - - - - -

не могу загрузить дополнительные файлы
выдает ошибку
мол превышен объем файлов на форуме

**Sandor** · 26.02.2024, 15:15

Сообщение от way

превышен объем файлов на форуме

Зайдите в свой "Мой кабинет", внизу слева "Разное" - "Вложения". Удалите лишние.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe', '');
 DeleteSchedulerTask('GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{B6C4026F-E36C-4F3E-A13E-D3E59C778648}');
 DeleteFile('C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe', '64');
 DeleteService('GoogleUpdaterInternalService124.0.6315.0');
 DeleteService('GoogleUpdaterService124.0.6315.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Жду логи Farbar.

**way** · 26.02.2024, 15:22

спасибо большое.
логи во вложении

**Sandor** · 26.02.2024, 15:27

Логи Farbar собирали до выполнения последнего скрипта или после?
Если до, переделайте, пожалуйста.

**way** · 26.02.2024, 15:36

Сообщение от Sandor

Логи Farbar собирали до выполнения последнего скрипта или после?
Если до, переделайте, пожалуйста.

до.
требуемые файлы во вложении

**Sandor** · 26.02.2024, 15:54

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4289737601-2461472435-1949962054-1001\...\MountPoints2: {b8b64120-9343-11ed-8af9-fc777462a501} - "E:\_AUTORUN\AUTORUN.EXE" 
C:\Users\wayzt\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
FF Extension: (Стартовая — Яндекс) - C:\Users\wayzt\AppData\Roaming\Mozilla\Firefox\Profiles\6bth3rcd.default-release\Extensions\[email protected] [2020-05-17]
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.tvernews.ru/","hxxp://www.yandex.ru/?win=97&clid=2073064","hxxp://mail.ru/cnt/10445?gp=blackbear13"
S3 FvSvc; отсутствует ImagePath
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Установите недостающие драйверы с сайта производителя.

**way** · 26.02.2024, 16:04

скажите о каких недостающих драйверах идет речь?

**Sandor** · 26.02.2024, 17:04

Об этих:

Name: Universal Image Mounter Controller
Name: UIM Drive Backup Image Plugin
Name: UIM Direct Device Image Plugin
Name: Alcor Micro USB 2.0 Card Reader

В диспетчере устройств они скорее всего помечены желтым восклицательным знаком.

В остальном - что сейчас с проблемой?

**way** · 26.02.2024, 17:49

Сообщение от Sandor

Об этих:

В диспетчере устройств они скорее всего помечены желтым восклицательным знаком.

В остальном - что сейчас с проблемой?

спасибо. все вроде нормально стало. защитник заработал.
а что было с компом?
Name: Alcor Micro USB 2.0 Card Reader
на него поставил драйвера.
остальное это парагоновские привода виртуальные. работают и ладно)

**Sandor** · 27.02.2024, 09:40

Сообщение от way

а что было с компом?

Очередной майнер.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**way** · 27.02.2024, 13:59

от куда они берутся?
с последнего обращения к вам ни чего не качали не устанавливал

**Sandor** · 27.02.2024, 14:16

Исправьте по возможности:

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Внимание! Скачать обновления
ASUS Live Update v.3.6.8 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
Backup and Sync from Google v.3.57.4256.0809 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Google Drive.
WhatsApp v.2.2206.9 Внимание! Скачать обновления
Viber v.15.2.0.0 Внимание! Скачать обновления
Telegram Desktop v.4.14.3 Внимание! Скачать обновления
Skype, версия 8.112 v.8.112 Внимание! Скачать обновления
µTorrent v.1.8.2 Внимание! Клиент сети P2P с рекламным модулем!.
iTunes v.12.12.6.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Maxthon v.7.1.8.6001 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.1.2.843 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.121.0.6167.189 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
MX5 v.5.3.8.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.40 v.9.40 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

**way** · 27.02.2024, 14:24

большую часть программ обновил. часть удалил.

ASUS Live Update v.3.6.8 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.

ошибок и проблем не нашла

Reg Organizer, версия 9.40 v.9.40 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра.

куплена на офсайте. проблем как бы ранее не наблюдал.

**Sandor** · 27.02.2024, 14:31

Речь об этом:
https://support.microsoft.com/ru-ru/...ning-utilities

Современным системам не нужны никакие чистильщики или оптимизаторы сторонних разработчиков. Толку от них мало, а вред могут нанести при неумелом обращении.

**way** · 27.02.2024, 14:41

я знаком с этой статьей.
но пока microsoft не научит свои продукты давать возможность пользователю самому решать какие программы будут грузиться в автозапуске, будут использовать "не рекомендованные" программы сторонних разработчиков

Снова проблемы с вирусом (заявка № 228494)

Опции темы