Подхватил сильный вирус

[Lugas]

На мой ноутбук попал вирус, который закрывает мне проводник, диспетчер задач и сам браузер, когда я пытаюсь скачать оттуда антивирус. Эта зараза так же закрывает msconfig, не позволяя перейти в безопасный режим. (благо я нашёл другое решение войти в безопасный режим). По моей версии это майнер, который скрывается по пути: C:/ProgramData/Windows Task/. Dr.Web Cureit я пробовал, и не один раз, так же пробовал его в безопасном режиме. Dr.Web устранял вирусы, но после перезагрузки ноутбука никаких изменений не последовало. Так же были лаги, нагрузка на ЦП, закрытия проводника, браузера и диспетчер задач.
Помогите пожалуйста, уже не знаю что делать.
 

CollectionLog-2024.02.05-17.20.zip

[akoK]

Скачайте, распакуйте (в подпапку) и запустите в [URL='https://www.safezone.cc/threads/kak-zagruzit-windows-v-bezopasnom-rezhime-safe-mode.19645/']безопасном режиме[/URL] с поддержкой сети [URL='https://www.safezone.cc/resources/av-block-remover-avbr.224/']AV block remover[/URL] или [URL='https://gateway.ipfs.io/ipns/k51qzi5uqu5dgxe9lp4ajfxoa6kx673upp405piwtr9dx2ecuz0bn02560gn9i']с зеркала[/URL]
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь [URL='https://avbr.safezone.cc/rnd/']версией с случайным именем файла[/URL]

[Lugas]

Извиняюсь за задержку ответа. У меня сайт не работал, или это так у всех.
 

AV_block_remove_2024.02.11-10.57.log

[Sandor]

Верно, это у всех не работал.

После работы AVbr уже должно полегчать. Но для контроля соберите новый CollectionLog Автологером (из нормального режима загрузки).

[Lugas]

Сделал.
 

AV_block_remove_2024.02.11-16.15.log

[Sandor]

Нет, вы повторили лог AVbr, а я прошу ещё раз запустить Autologger и собрать новый архив с именем CollectionLog. Также, как вы сделали в первом своём сообщении.

[Lugas]

CollectionLog-2024.02.11-20.29.zip

[Sandor]

Хорошо.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Java 8 Update 51 (64-bit)
Кнопка "Яндекс" на панели задач
Менеджер браузеров

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве

.
 

[Lugas]

Addition.txt FRST.txt

[Sandor]

[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List]
[*] Отключите до перезагрузки антивирус.
[*] Выделите следующий код:
 

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2366376328-3498748069-1047038959-1003\...\MountPoints2: {b431dec7-3b59-11ec-af9a-c85b76286235} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2366376328-3498748069-1047038959-1003\...\MountPoints2: {d62f68ce-2771-11ec-af95-74dfbf5662de} - "F:\HiSuiteDownLoader.exe" 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {0EA1FDBA-A7A5-405E-AD16-275CF55860BF} - \AMDLinkUpdate -> Нет файла <==== ВНИМАНИЕ
Task: {0F40A4BC-60DC-4A97-BE46-4C66A964AFD9} - \CCleaner Update -> Нет файла <==== ВНИМАНИЕ
Task: {1F2D4505-1154-48A1-AEDF-9E6C2C8A470E} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 -> Нет файла <==== ВНИМАНИЕ
Task: {20CC0ECF-9A3C-43F0-8043-A322E2E6C0F6} - \Восстановление сервиса обновлений Яндекс.Браузера -> Нет файла <==== ВНИМАНИЕ
Task: {2CA0264F-966F-45FD-A07B-9C0BE0740B65} - \MicrosoftEdgeUpdateTaskUserS-1-5-21-2366376328-3498748069-1047038959-1003UA{4B867FB0-5CDC-4475-896D-BA4A6BDF1984} -> Нет файла <==== ВНИМАНИЕ
Task: {2EBEFA28-7C62-471C-A3DF-192DF0A606C3} - \OneDrive Reporting Task-S-1-5-21-2366376328-3498748069-1047038959-1003 -> Нет файла <==== ВНИМАНИЕ
Task: {3C93B692-241F-476E-ACE9-CF1C22F9ABC7} - \MicrosoftEdgeUpdateTaskUserS-1-5-21-2366376328-3498748069-1047038959-1003Core{B98042A7-7DB2-44A2-9473-13BA42A8AD05} -> Нет файла <==== ВНИМАНИЕ
Task: {3F470D26-84BE-4F34-AC25-94B33B2FFC90} - \CCleanerCrashReporting -> Нет файла <==== ВНИМАНИЕ
Task: {4068D514-B537-449B-AFC9-0D2A12CA7DA6} - \AppdaterUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {43C23972-1B7C-4B64-BF2B-A5336E358B49} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
Task: {4A8E8D41-7A3F-470B-BC33-8F7E170FEF43} - \AVAST Software\Gaming mode Task Scheduler recovery -> Нет файла <==== ВНИМАНИЕ
Task: {69D2F6BB-C1E7-405C-A026-CB4ADD395105} - \Lenovo\REACHit Agent Update -> Нет файла <==== ВНИМАНИЕ
Task: {6DD6B2A2-C695-44B1-99D4-AB0B97522105} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
Task: {7A493502-4420-43C0-9A96-767996F99A81} - \PDVDServ12 Task -> Нет файла <==== ВНИМАНИЕ
Task: {824F7C2B-70F6-4DF2-851D-B6CF2A75A307} - \Opera scheduled assistant Autoupdate 1599246575 -> Нет файла <==== ВНИМАНИЕ
Task: {86FC9A92-36BA-4761-A814-F8FEEEBF7135} - \Lenovo\REACHit Agent Startup -> Нет файла <==== ВНИМАНИЕ
Task: {93C6F552-7B1B-405A-9344-50C48C935C4E} - \OneDrive Per-Machine Standalone Update Task -> Нет файла <==== ВНИМАНИЕ
Task: {9B9AE925-5A1B-4662-854D-30C434FFB004} - \Agent Activation Runtime\S-1-5-21-2366376328-3498748069-1047038959-1003 -> Нет файла <==== ВНИМАНИЕ
Task: {9CEDE60E-B90D-41AC-84DA-4A209CAD0683} - \CyberLink\Photo Master Gadget startup -> Нет файла <==== ВНИМАНИЕ
Task: {A1304257-5C2B-44C1-841F-B1CE8FB17919} - \CCleanerSkipUAC - Инга -> Нет файла <==== ВНИМАНИЕ
Task: {AEF785DE-9214-4D6D-AECA-BD159645909F} - \Системное обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {B13664F0-025B-4172-A464-D118C4D4D26B} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {B393DCAE-5A51-4193-A3F1-76DFE3ADD2E9} - \StartCN -> Нет файла <==== ВНИМАНИЕ
Task: {B4DC4087-6531-41A5-BF41-FDD2904C3860} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132 -> Нет файла <==== ВНИМАНИЕ
Task: {B99BCB34-171F-42F2-88A4-8099161690F3} - \Восстановление сервиса обновлений Яндекс Браузера -> Нет файла <==== ВНИМАНИЕ
Task: {C8F2A73B-1E5E-4CDD-9F35-7BCDBC01F5EA} - \StartCNBM -> Нет файла <==== ВНИМАНИЕ
Task: {D0A8DD87-D2F4-4F7A-B1DF-4DF2C59A5FA4} - \Opera scheduled Autoupdate 1599246549 -> Нет файла <==== ВНИМАНИЕ
Task: {D10BBC5A-FC14-4BD1-8408-5FFC077CC5EF} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132-Logon -> Нет файла <==== ВНИМАНИЕ
Task: {DFF4EBFD-AC29-43F8-8641-FBC8940E7551} - \USER_ESRV_SVC_QUEENCREEK -> Нет файла <==== ВНИМАНИЕ
Task: {E0ADEC68-C31E-4A4D-9A6B-50346A353487} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
Task: {EAF6031F-C986-4493-894A-E659F95FC625} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
Task: {F6BD405D-FC57-41AF-ADB6-5341BE528BEA} - \AMDInstallLauncher -> Нет файла <==== ВНИМАНИЕ
Task: {F81EB087-447C-4DC9-878D-5C2AF3070E2D} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [690]
AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [690]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [690]
AlternateDataStreams: C:\Users\79646\Application Data:NT [40]
AlternateDataStreams: C:\Users\79646\Application Data:NT2 [690]
AlternateDataStreams: C:\Users\79646\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\79646\AppData\Roaming:NT2 [690]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [690]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [690]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

 

[*] Скопируйте выделенный текст (правой кнопкой - Копировать).
[*] Запустите FRST (FRST64) от имени администратора.
[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
[/List]
Компьютер будет перезагружен автоматически.

Подробнее читайте в [URL='https://safezone.cc/threads/17760/']этом руководстве[/URL].
 

[Lugas2]

Пишу с другого аккаунта, так как основной заблокирован якобы из за неудачных попыток авторизаций. А я этого не делал, странно. 
Прикрепляю лог.
 

Fixlog.txt

[Sandor]

Хорошо. В предыдущий раз лог FRST.txt у вас получился неполный. Удалите старые и соберите новые FRST.txt и Addition.txt, пожалуйста.

[Lugas2]

FRST.txt Addition.txt

[Sandor]

Ещё один скрипт выполните

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Изменено 12 февраля, 2024 пользователем Sandor

[Lugas2]

Fixlog.txt

[Sandor]

Хорошо. Проблема решена?

[Lugas2]

Да, вирус удалён. Но наблюдаю долгую загрузку в браузере и немного дольше стал включаться ноутбук. Что порекомендуете сделать для оптимизации?

[Sandor]

Проверьте дополнительно с помощью KVRT.

Папку C:\KVRT2020_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

[Lugas2]

Reports.rar

[Sandor]

Чисто.

В каком именно браузере долго грузится - Edge, Chrome, Yandex, Opera? Или в любом?

[Lugas2]

Yandex

[Sandor]

Сделайте сброс настроек браузера на значения по умолчанию. Сообщите результат.

[Lugas2]

Уже лучше.

Спасибо Вам, Sandor, за вашу помощь в лечении моего ноутбука. Вы мне очень помогли, удачи Вам!

[Sandor]

Отлично!

В завершение, пожалуйста:
1. Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.[LIST]
[*]Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.
[*]Запустите из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I]
[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу
[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B]
[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I]
[*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

Изменено 14 февраля, 2024 пользователем Sandor

[Lugas2]

SecurityCheck.txt