Ошибка при загрузки Windows (xmnt 2002 program not found skipping autocheck)

[Zloy Duh]

Здравствуйте! Прошу помощи с зараженным ПК.
Перед загрузкой системы появляется надпись: "xmnt 2002 program not found skipping autocheck", далее система загружается. Нет возможности включить Защитник Windows. Выдает: "параметрами защиты от вирусов и угроз управляет ваша организация". Так же постоянно выскакивают рекламные банеры.

[Info_bot]

Уважаемый(ая) Zloy Duh, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Деинсталлируйте программу uBar.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"   -> ["C:\Users\user\AppData\Local\Yandex\YaPin\YandexWorking.exe"]
>>>  "C:\Users\Public\Desktop\TLauncher.lnk"       -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\StartupApproved\Run: [Torrent2Exe] = C:\Users\user\AppData\Local\Temp\Torrent2Exe\T2E.exe --autorun (file missing) (2021/02/18)
O4 - HKLM\..\Session Manager: [BootExecute] = xmnt2002 /bat="C:\Windows\TEMP\PQ_BATCH.PQB" /win="C:\Windows" /dbg="C:\Windows\TEMP\PQ_DEBUG.TXT" /ver=262144 /prd="PartitionMagic" (file missing)
O23 - Service R2: PnkBstrA - C:\Windows\system32\PnkBstrA.exe (file missing)

Скачайте, распакуйте и запустите эту утилиту.
После перезагрузки сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Zloy Duh]

Вот тут не понял, как сделать лог.

"После перезагрузки сделайте такой лог.
http://www.geekstogo.com/forum/files...ery-scan-tool/"

Ведь эта ссылка предлагает загрузить FRST

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKU\S-1-5-21-1199622445-2961088766-4283060485-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
2020-12-14 19:40 - 2020-12-14 19:40 - 000000000 _____ () C:\Users\user\AppData\Local\BITCBE3.tmp
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [814]
HKU\S-1-5-21-1199622445-2961088766-4283060485-1000\...\StartupApproved\Run: => "uBar"
HKU\S-1-5-21-1199622445-2961088766-4283060485-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_359E43767C1BFDADFAAB676785A1E526"
File: }C:\users\user\.flauncher\jre\jre-adopt-8u252\bin\java.exe
FirewallRules: [TCP Query User{3EA92FA4-DC88-4DDB-8F59-C83BE4B5198A}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe] => (Allow) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe
FirewallRules: [UDP Query User{D5045F2B-BFFD-411B-B9B9-7E98C45BDE7C}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe] => (Allow) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe
FirewallRules: [TCP Query User{E417727B-1EA5-4954-9060-394D7B66D555}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe
FirewallRules: [UDP Query User{918EB6A5-1EEC-4E6A-B4F8-0283B5D21249}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_51\bin\javaw.exe
FirewallRules: [TCP Query User{A0BECEC1-0A82-430C-AED6-442C9FF61D09}D:\игры\arma2 dayz\arma2server.exe] => (Allow) D:\игры\arma2 dayz\arma2server.exe => No File
FirewallRules: [UDP Query User{F20A9ED3-2B99-42EE-AED2-BF6F559A7C64}D:\игры\arma2 dayz\arma2server.exe] => (Allow) D:\игры\arma2 dayz\arma2server.exe => No File
FirewallRules: [{49871DD0-66B6-4040-8957-3EC081567179}] => (Allow) C:\Users\user\AppData\Local\Temp\DriverPack-20201005164449\tools\aria2c.exe => No File
FirewallRules: [TCP Query User{58E70F56-0A5B-4ED3-94CE-EA4B6D165C95}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => No File
FirewallRules: [UDP Query User{1A6B6531-9856-4F85-B2CF-75418A0FB5C1}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => No File
FirewallRules: [{0D93E928-0BA5-475B-B67F-530698AB27BE}] => (Block) C:\programdata\ubar\ubar\ubar.exe => No File
FirewallRules: [{B623C8C1-A5D5-49F3-AA31-D2C0A8859027}] => (Block) C:\programdata\ubar\ubar\ubar.exe => No File
FirewallRules: [{2B8AC7E7-34B8-4D04-9D94-6B29B811C969}] => (Allow) C:\Users\user\AppData\Local\Temp\Torrent2Exe\T2E.exe => No File
FirewallRules: [{7E40B0CB-E193-4CF7-921B-FD03CA7EA09D}] => (Allow) C:\Users\user\AppData\Local\Temp\Torrent2Exe\T2E.exe => No File
FirewallRules: [{69266DCD-CC8D-4303-8C2D-B67F2682634B}] => (Allow) C:\Users\user\AppData\Local\Temp\Torrent2Exe\T2E.exe => No File
FirewallRules: [{B3074625-DCE5-4176-A4DA-45591DB69482}] => (Allow) C:\Users\user\AppData\Local\Temp\Torrent2Exe\T2E.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Zloy Duh]

Сообщения "xmnt 2002 program not found skipping autocheck" больше нет.
Банеры больше не всплывают
Защитник Windows после перезагрузки долго пытается включиться с сообщением "служба работы с угрозами остановлена перезапустите ее" (перезапуск не помогает), затем, через некоторое время отключается с сообщением "параметрами защиты от вирусов и угроз управляет ваша организация"

[Vvvyg]

Это и не вирус был, а остатки Partition Magic.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2021-02-16 11:57 - 2020-10-02 17:44 - 000000000 ____D C:\ProgramData\Avast Software
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Zloy Duh]

Defender заработал! Спасибо! Но все же не подскажите, чем заменить встроенный антивирус? Компьютер ребенка, чтобы хоть какая-то защита была

[Vvvyg]

Если его не отключать - Защитник вполне надёжен и не требователен к ресурсам.
Если что-то серьёзнее - Kaspersky Security Cloud, есть бесплатная версия, но, кажется, она довольно часто рекомендует купить платную

Учтите, если запускать всё подряд, и антивирус любой не поможет.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Zloy Duh]

Спасибо большое!