На компьютере NET:MALWARE.URL и Powershell.avkill.10

**ezhii** · 21.05.2024, 23:31

Здравствуйте. Вирусы пока никак не мешали. На компьютере давненько были папки с названиями corpse-crumble ( содержимое: файл hurried-arragement) и папка expose-entity (содержимое: файл hunter-include). Их нельзя удалить,антивирус ссылается на то, что эти папки в исключениях и ничего не может с этим сделать. Недавно активировала office через KMS, и сломалась плашка о низком уровне заряда. То есть, вместо всей надписи остались какие-то две точки. В связи с этим прогнала через бесплатную версию доктора веба. Тот нашел аж 21 угрозу, среди которых был NET:MALWARE.URL, trojan.btsmine.3795, 18 кидалок на рекламы с торрента и какая-то проблема с установщиком windows word. Все угрозы кроме первой удалось устранить. Потом полезла в файлы, там удалила все исключения заводского антивируса (там нашелся запрет на проверку файлов типа .exe). Затем проверила через доктор веб еще раз и на вторую проверку антивирус нашел Powershell.avkill.10. Что делать?

А, еще одно время назад скачивала платный материал для игры, после чего именно сама игра стала притормаживать (ни на чем больше не отразилось), а ее лаунчер разок заметила зависшим в процессах, хотя приложение было выключено

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.05.2024, 23:32

Уважаемый(ая) ezhii, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 22.05.2024, 07:37

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\corpse-crumble\hurried-arrangement.lnk"   -> ["C:\ProgramData\hearty-discussion\hurried-arrangement"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\expose-entity\hunter-include.lnk"         -> ["C:\ProgramData\genius-disgust\hunter-include"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.10.34.lnk"     -> ["C:\Program Files\GIMP 2\bin\gimp-2.10.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O23 - Driver R: (no name) - C:\Temp\8D90E5EC-D441463E-9A17E10-1F4E99D0\1d8a072a662.sys (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ezhii** · 22.05.2024, 16:19

Первое я сделала, а насчет второго: нет именно такой строки 07, приложение ошибку выдало. Фиксить ли 023 без 07? Скинуть отчет об анализе?
Третье не трогала

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O23 - Driver R: (no name) - C:\Temp\8D90E5EC-D441463E-9A17E10-1F4E99D0\1d8a072a662.sys (file missing)

**Vvvyg** · 22.05.2024, 18:36

Фиксите, что есть и делайте следующие логи.

**ezhii** · 22.05.2024, 19:50

вот логи

**Vvvyg** · 22.05.2024, 20:49

Упакуйте в архив и приложите лог последнего сканирования Dr. Web CureIt, должен быть тут: C:\Users\Женя\Doctor Web\cureit.log

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKU\S-1-5-21-4142606913-3989813532-1594760215-1004\...\Run: [YandexBrowserAutoLaunch_2A6EBF667F81D368BE5819076F6304F9] => "C:\Users\Женя\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
AlternateDataStreams: C:\ProgramData\TEMP:111F082E [136]
FirewallRules: [{B6C6D888-6134-4A68-B8B6-EA94969C6724}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{9DAE10B4-957A-449D-8BF6-6B328CEB7360}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1F47883D-2D3D-4F93-9D5F-1B33FE359400}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\launcher.exe => Нет файла
FirewallRules: [{DE242C28-4E94-47A6-997C-F73FEF9A1773}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\launcher.exe => Нет файла
FirewallRules: [{02061ED4-BB63-43DD-9FEB-5BA287A8202F}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\bpreport.exe => Нет файла
FirewallRules: [{B6FBD5E7-21DB-412D-8AFD-B8CC1A0C5E68}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\bpreport.exe => Нет файла
FirewallRules: [{7A12C0A1-27A0-4D25-9605-C8ED4930554D}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\gaijin_downloader.exe => Нет файла
FirewallRules: [{6F80D324-3A44-493C-AF64-4C9641A9C32A}] => (Allow) C:\Users\Женя\AppData\Local\WarThunder\gaijin_downloader.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**ezhii** · 22.05.2024, 21:12

Лог доктора веба не прикрепляется ни 7z, ни zip, ни просто txt.

Еще, кстати, после удаления тех двух файлов остались две маленькие отдельные программы, подписанные "деинсталлировать [название папки]". Это так и надо?

**Vvvyg** · 22.05.2024, 21:51

Сообщение от ezhii

Лог доктора веба не прикрепляется ни 7z, ни zip, ни просто txt.

Выложите в облако и дайте ссылку.

Сообщение от ezhii

Еще, кстати, после удаления тех двух файлов остались две маленькие отдельные программы, подписанные "деинсталлировать [название папки]". Это так и надо?

Удалите hunter-include и hurried-arrangement, если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free. Остальное дочистим.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Folder: C:\ProgramData
Folder: C:\Windows\system32\config\systemprofile
StartPowerShell:
Remove-MpPreference -ExclusionPath ".exe"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению (в архиве, если не влезет во вложения, или в облако.

**ezhii** · 22.05.2024, 22:21

Попробовать удалить эти два остатка с деинсталляцией? Код скопировала, куда его? А fixlog.txt я уже скинула.
Ссылка на облако: https://drive.google.com/drive/folde..._T?usp=sharing
fixlog.txt тоже там на всякий случай

**Vvvyg** · 22.05.2024, 23:05

Сообщение от ezhii

Попробовать удалить эти два остатка с деинсталляцией? Установленные программы, да, скорее всего придётся принудительно с помощью Geek Uninstaller Free.
Код скопировала, куда его? А fixlog.txt я уже скинула.

Никуда, программа из буфера обмена его берёт. И новый fixlog.txt выложите.

**ezhii** · 22.05.2024, 23:26

Я и первый раз со скопированным кодом была. Ладно, сейчас еще раз попробую и выложу

- - - - -Добавлено - - - - -

Все, файл в облаке заменила

**Vvvyg** · 23.05.2024, 00:08

Дочищаем последнее. Копируем код, "Исправить", новый fixlog.txt выложите, можно вложением в тему:

Код:

Start::
C:\ProgramData\genius-disgust
C:\ProgramData\hearty-discussion
C:\ProgramData\dcxegsjhaybk
Powershell: Remove-MpPreference -ExclusionExtension ".exe"
End::

Сообщите, что с проблемами.

**ezhii** · 23.05.2024, 01:51

Вот лог. Почти сразу по удалению исключений встроенный антивирус начал ругаться на остатки KMS, который я сама до этого пыталась удалить, и нашел пару рекламных приложений. Доктор Веб новых угроз вроде не нашел. Про низкий уровень заряда не знаю, ноутбук сейчас заряжен. Все, что осталось - это те две кнопки деинсталляции без самих объектов

**Vvvyg** · 23.05.2024, 07:35

Так удалите принудительно, в сообщении #9 писал, как.

**ezhii** · 24.05.2024, 16:26

Все, спасибо, проблем нет

**Vvvyg** · 24.05.2024, 16:35

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

На компьютере NET:MALWARE.URL и Powershell.avkill.10 (заявка № 228575)

Опции темы