Открываются рекламные страницы в браузере, Windows Defender заблокирован администратором

**rainb** · 26.07.2022, 19:22

Добрый день.
Поймал какую-то заразу, просьба помочь с удалением.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.07.2022, 19:27

Уважаемый(ая) rainb, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 27.07.2022, 07:41

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [Dmitriy] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - HKU\S-1-5-18\..\Run: [Synapse3] = C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (file missing) (User 'LocalSystem')
O22 - Tasks: (damaged) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_6d80c4e5e6c9db97\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (user missing)
O22 - Tasks: Dmitriy - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Dmitriy /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"   -> ["C:\Program Files\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Ubisoft Connect.lnk"           -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftConnect.exe"]
>>>  "C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Uninstall.lnk"       -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**rainb** · 27.07.2022, 17:59

Готово.

**Vvvyg** · 27.07.2022, 20:13

Встроенный "Защитник" сами отключали полностью?
Проблема решена?

**rainb** · 28.07.2022, 04:25

Сайты перестали появляться. Защитник сам не отключал и он по прежнему не работает. Включить не получается - "функция заблокирована администратором"

**Vvvyg** · 28.07.2022, 07:10

Попробуем восстановить.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
ask: {0772CCC7-7D01-434B-9E67-0E32ACFB872E} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Нет файла)
FirewallRules: [TCP Query User{08F523D2-5DB7-4C4D-B7FB-99C087ADA0D2}C:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) C:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [UDP Query User{8ED127C1-DB9E-46CC-95C7-E646A076C999}C:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) C:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [TCP Query User{F56BEBD2-7DD4-41D9-ACCE-513CB88ACA85}C:\games\halo infinite\haloinfinite.exe] => (Block) C:\games\halo infinite\haloinfinite.exe => Нет файла
FirewallRules: [UDP Query User{32EBD0CC-934B-40D0-99DF-7A5FB836F22B}C:\games\halo infinite\haloinfinite.exe] => (Block) C:\games\halo infinite\haloinfinite.exe => Нет файла
FirewallRules: [TCP Query User{16320A1D-71CD-4384-91D7-9110E1E8E446}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{9564B79F-EBDA-4A17-9D71-5B9DBCF01ED1}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{BE0D1829-CF50-4B07-83DB-1A58841D1D77}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{3F62B5F2-7A74-4FDD-B4AB-A761E299925F}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{1D5F3DD3-BD15-46E2-9327-1186A3BBF983}C:\program files (x86)\call of duty modern warfare\modernwarfare.exe] => (Allow) C:\program files (x86)\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [UDP Query User{D5DEF91D-2764-48E8-BDA7-ABEC67D569E7}C:\program files (x86)\call of duty modern warfare\modernwarfare.exe] => (Allow) C:\program files (x86)\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [TCP Query User{CF3367B5-DC28-43DD-BE1C-3709174EF3EB}C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe] => (Allow) C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe => Нет файла
FirewallRules: [UDP Query User{5CD28891-1D67-4D74-BA26-40E98604A7B1}C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe] => (Allow) C:\program files (x86)\starcraft ii\versions\base87702\sc2_x64.exe => Нет файла
FirewallRules: [TCP Query User{41F8AA7A-AB11-479E-AC86-12AB0BFDE5AC}C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [UDP Query User{649918EC-BC8E-4CAC-9A30-2FA92A15BA04}C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{D990FC86-7E35-40F8-9F2B-F3C9BD1ABC2E}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{88EA5787-EB6B-45DA-8985-AD94E2F84174}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [{489D69F8-873B-42C1-86BF-F55FBCECD16E}] => (Allow) C:\Program Files\Epic Games\WatchDogsLegion\bin\WatchDogsLegion.exe => Нет файла
FirewallRules: [{F86510F3-F59A-461F-9A82-9586FEBC5317}] => (Allow) C:\Program Files\Epic Games\WatchDogsLegion\bin\WatchDogsLegion.exe => Нет файла
FirewallRules: [{DCA0BA42-7D0C-44AA-83AB-BE91C3AD4AB9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Vampyr\AVGame\Binaries\Win64\AVGame-Win64-Shipping.exe => Нет файла
FirewallRules: [{39098E60-C35E-48E9-BCC9-E8C59F11F016}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Vampyr\AVGame\Binaries\Win64\AVGame-Win64-Shipping.exe => Нет файла
FirewallRules: [{9C128823-AD19-4E5D-9570-2A0DE6E685D7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла
FirewallRules: [{D59C47D7-8187-46DB-9DEA-DF7448456390}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла
FirewallRules: [TCP Query User{1ADB3478-E898-416E-A02E-AD4B3A250086}C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4081C487-37CE-4367-BBA3-5A85BCFBA39A}C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\darksidersgenesis\projectmayhem\binaries\win64\darksidersgenesis-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{8DC5BECE-B0C8-497E-8B95-68F4D8ABC117}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{2CEEA6FA-B38E-43D2-BD6A-7B180ED336B7}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению (можно в архиве).
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**rainb** · 28.07.2022, 17:25

Не помогло. Антивирус не работает

**Vvvyg** · 28.07.2022, 18:07

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**rainb** · 28.07.2022, 19:39

сделал
https://cloud.mail.ru/public/62xx/q7GdTVVPh

- - - - -Добавлено - - - - -

"Служба антивирусной программы Microsoft Defender" - стоял автоматический запуск, но запущена не была. После запуска вручную, антивирус заработал.
Спасибо за помощь

**Vvvyg** · 28.07.2022, 22:08

Тогда завершаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Открываются рекламные страницы в браузере, Windows Defender заблокирован администратором (заявка № 227772)

Опции темы