Вирус не дает запустить Autologg

**Volodya911** · 13.09.2024, 20:55

Вирус не дает запустить Autolog, автоматически закрывает ее

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.09.2024, 20:56

Уважаемый(ая) Volodya911, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 14.09.2024, 05:54

Пробуйте в безопасном режиме.

**Volodya911** · 14.09.2024, 10:17

В безопасном режиме: Невозможно создать папку "C:\Users|Volodya\Desktop\AutoLogger\AV
Отказано в доступе.

- - - - -Добавлено - - - - -

В безопасном режиме: Невозможно создать папку "C:\Users|Volodya\Desktop\AutoLogger\AV
Отказано в доступе

**Sandor** · 14.09.2024, 12:37

Пробуйте запускать не с Рабочего стола, а из любой другой папки (или прямо из корня диска).

**Volodya911** · 21.09.2024, 12:44

Из корня папки получилось

**Vvvyg** · 21.09.2024, 19:29

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\DRM\C6khcgW8W\CheckGlobalH.bat', '64');
 DeleteFile('C:\ProgramData\reaitekhd\taskhost.exe', '');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFileMask('c:\programdata\reaitekhd', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\reaitekhd');
 DeleteDirectory('c:\programdata\windowstask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalH\C6khcgW8W');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalH\RecoveryHosts');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Volodya911** · 23.09.2024, 20:30

Архив

**Vvvyg** · 24.09.2024, 09:17

Лог AV block remove ещё прикрепите.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
2024-09-08 21:55 - 2024-02-09 20:38 - 000000000 ____D C:\Users\Volodya\Doctor Web
FirewallRules: [{E011A12A-9ADF-464D-A11E-A70528E9A0BB}] => (Allow) D:\Программы\DAvinci\ElementsPanelDaemon.exe => Нет файла
FirewallRules: [{E35BE1FB-6027-499C-A467-2DFA5782F96F}] => (Allow) C:\Users\Volodya\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{87C62C5C-BB3A-4A7C-921D-5F290F770423}] => (Allow) C:\Users\Volodya\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{069C39E9-BDA7-4D28-8675-3009C270CD33}] => (Allow) C:\Users\Volodya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{456681EA-96F4-4F73-AB91-6F02C9F495A2}] => (Allow) C:\Users\Volodya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
ipconfig /flushdns
sfc /scannow
endbatch:
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Удалите программу Bonjour.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Volodya911** · 24.09.2024, 10:13

3 файла

**Vvvyg** · 24.09.2024, 10:22

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Opera Stable 112.0.5197.53 v.112.0.5197.53 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

На этом всё.

**Volodya911** · 24.09.2024, 13:39

Спасибо Вам огромное!

Вирус не дает запустить Autologg (заявка № 228724)

Опции темы