Вирусы доканали

**DeNaRcH** · 13.02.2022, 00:34

Какое то время я просто игнорировал потому что было не критично но в конце концов решил попробовать от них избавиться .Целый день гонял пк различными утилитами. Но все равно осталось то до чего я добраться не смог. В частности какие то скрытые программы (Ghostery - Privacy Ad Blocker 1.0.0.0 v.1.0.0.0 и Vivatech 2.3.10.84 v.2.3.10.84) пишут что их можно удалить с помощью реестра но сам я лезть не рискнул. Так же в защитнике виндовс висят файлы которые не хотят выбираться из списка разрешенных угроз. Сам я точно не справлюсь , поэтому рассчитываю на вашу помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.02.2022, 00:38

Уважаемый(ая) DeNaRcH, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 13.02.2022, 09:41

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

**DeNaRcH** · 13.02.2022, 10:02

готово

**Vvvyg** · 13.02.2022, 11:55

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**DeNaRcH** · 13.02.2022, 12:36

готово

**Vvvyg** · 13.02.2022, 14:26

Проблемы с одним из дисков:

Error: (02/13/2022 12:19:40 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (02/13/2022 12:19:37 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (02/13/2022 12:18:06 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (02/13/2022 12:17:29 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (02/13/2022 12:17:25 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (02/13/2022 12:17:18 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3118154700-2261538662-2616300263-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-3118154700-2261538662-2616300263-1001\...\MountPoints2: {d5585012-17fd-11ec-8d28-4cedfb7595bc} - "E:\HiSuiteDownLoader.exe" 
Task: {2FE09EF6-751B-4513-BBE6-27F813A36B56} - System32\Tasks\IjKqhoHiysREa2 => C:\Windows\system32\wscript.exe "C:\ProgramData\QlTXTGebFwWQcXVB\IcuXSgI.wsf"
Folder: C:\ProgramData\QlTXTGebFwWQcXVB
C:\ProgramData\QlTXTGebFwWQcXVB
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
CHR HKU\S-1-5-21-3118154700-2261538662-2616300263-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
S3 MBAMInstallerService; "C:\Users\dansa\AppData\Local\Temp\MBAMInstallerService.exe" [X] <==== ВНИМАНИЕ
S3 Transmission; "C:\Users\dansa\AppData\Local\Programs\Transmission\transmission-qt.exe" /stream [X] <==== ВНИМАНИЕ
2022-02-10 18:17 - 2022-02-10 18:18 - 000002782 _____ C:\Windows\system32\Tasks\YFaDnqdOQtusvkiKlRJ2
Disc HD Kit 2.2.6.41 (HKLM-x32\...\{8b10bf09-2912-444d-b7a1-3d78015f332b}) (Version: 2.2.6.41 - O'Connell, Wiza and Strosin LLC) Hidden
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3118154700-2261538662-2616300263-1001\...\{128bf7b1-c680-4f1f-be90-7a2755f76317}) (Version: 1.0.0.0 - Ghostery) Hidden
Direct Power Component 1.1.1.51 (HKLM-x32\...\{5349a2d8-be76-4c52-aba7-1b25f7ab7c9b}) (Version: 1.1.1.51 - Huerta y Rojas S. de H. e Hijos) Hidden
field let 2.1.8.27 (HKLM-x32\...\{b9b0b58a-6c74-46a2-868b-f7bc4272243c}) (Version: 2.1.8.27 - Witting, Moore and Hyatt Ltd) Hidden
Vivatech 2.3.10.84 (HKLM-x32\...\{b8d6c873-d3f6-4368-adf5-d71beda00075}) (Version: 2.3.10.84 - Milani, Giuliani e Rossi SPA Group) Hidden
AlternateDataStreams: C:\Users\dansa\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
FirewallRules: [TCP Query User{0F9A382C-90EB-47C9-8BFB-EE5BFCDF57E5}C:\users\dansa\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\dansa\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{F82E08C1-971F-42A2-A53E-33E25EC28BFE}C:\users\dansa\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\dansa\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{C33A6517-B1EE-48FA-B4CA-27A7009C5CF9}C:\users\dansa\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\dansa\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{15DD07F6-E983-49CF-9DA7-3FAB7B60EB8E}C:\users\dansa\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\dansa\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [{EBA9055E-F7EA-4298-A463-BAA505258E1B}] => (Allow) C:\Users\dansa\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{88730A32-8F32-4C5D-ADD4-85881D15E6A4}] => (Allow) C:\Users\dansa\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0FF434AD-CDE2-4EA1-9C12-28BDC1D8CDA7}] => (Allow) C:\Users\dansa\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{FABAB953-009C-466A-B1A7-038F1C16708F}] => (Allow) C:\Users\dansa\MediaGet2\QtWebEngineProcess.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

В списке установленных появятся программы:
field let 2.1.8.27
Ghostery - Privacy Ad Blocker 1.0.0.0
Vivatech 2.3.10.84
Direct Power Component 1.1.1.51
Disc HD Kit 2.2.6.41
Удалите их, если не удаляются штатно - воспользуйтесь программой Geek Uninstaller Free.

**DeNaRcH** · 13.02.2022, 14:41

все удалил, но программа до сих пор пишет что Ghostery - Privacy Ad Blocker 1.0.0.0 установлена , изначально писало что их там 2 было

**Vvvyg** · 14.02.2022, 10:38

Что за программа пишет?
Сделайте новые логи FRST.

**DeNaRcH** · 14.02.2022, 11:45

Пишет securityCheckH, сейчас ещё раз проверил, правда без доступа к интернету и в этот раз не нашло ничего

**Vvvyg** · 14.02.2022, 13:10

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Task: {5737A03A-2D12-442C-A995-414F197979A0} - \YFaDnqdOQtusvkiKlRJ2 -> Нет файла <==== ВНИМАНИЕ
Task: {C061D378-7903-49E2-AFFD-D15F362876B0} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3118154700-2261538662-2616300263-1001 => C:\Users\dansa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла)
Task: {D26FAAD1-CE60-417F-A8BA-0DC702BB0131} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3118154700-2261538662-2616300263-1001 => C:\Users\dansa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла)
S3 luminati_net_updater_win_mediaget_com; "C:/Users/dansa/MediaGet2/Luminati-m/net_updater32.exe" --updater win_mediaget.com [X]
C:\Users\dansa\AppData\Local\Package Cache\{128bf7b1-c680-4f1f-be90-7a2755f76317}
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Затем сделайте проверку SecurityCheck при подключенном интернете, приложите результат.

**DeNaRcH** · 14.02.2022, 20:57

Готово

**Vvvyg** · 14.02.2022, 21:22

От Ghostery Privacy Ad Blocker, видимо, какие-то записи в реестре остались, самой программы нет. Ничего страшного.

Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^

Java обновите обязательно.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И всё на этом.

**DeNaRcH** · 14.02.2022, 21:28

а можно ли что то сделать с разрешенными угрозами в защитнике виндовс?

**Vvvyg** · 15.02.2022, 07:44

А что там за угрозы? Ткнуть и выбрать "Не разрешать" пробовали?

**DeNaRcH** · 15.02.2022, 18:13

Пробовал, они сразу же в этот список возвращаются. Еще этот Find It который постоянно в браузер вклинивается, я думал он постоянно появляется благодаря скрытым программам , но программ больше нет но find It остался

**Vvvyg** · 15.02.2022, 22:22

Find-It.pro только в Opera GX, или в хроме тоже? Посмотрите расширение Find-It.pro и соответствующую поисковую систему, по логам их не видно, удалите если будут.
Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
ListPermissions: C:\ProgramData\Microsoft\Windows Defender\Scans\History
Folder: C:\ProgramData\Microsoft\Windows Defender\Scans\History
ListPermissions: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
ListPermissions: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
ListPermissions: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender
exportkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**DeNaRcH** · 15.02.2022, 23:49

Да, действительно find It от расширения включался, удалил расширение и все вернулось в норму. Список разрешенных угроз пуст.

**Vvvyg** · 16.02.2022, 08:43

Тогда порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**DeNaRcH** · 16.02.2022, 10:41

Спасибо за помощь

Вирусы доканали (заявка № 227630)

Опции темы