Вирус блокирует Malwarebytes

@mister_kryak · Регистрация: 10.06.2021

Студворк — интернет-сервис помощи студентам

Уже с декабря ПК заражён вирусом, который ворует пароли, меня спасает только двухфакторная авторизация во всех соц.сетях, и каждый раз меня уведомляют о попытках входа в мои аккаунты. Чем я только не пытался обнаружить его, и Касперским и DR.Web Cureit, ничего не помогает. А Malwarebytes при установке пишет: недопустимый путь. Помогите пожалуйста ликвидировать эту пакость

@Sandor · 11.06.2021, 08:22

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@mister_kryak · 11.06.2021, 15:41 **[ТС]**

Здравствуйте, Sandor. Сделал все как вы сказалали. В ходе проверки был удалён пользователь John.
После перезагрузки собрал новый CollectionLog

@Sandor · 11.06.2021, 15:46

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@mister_kryak · 11.06.2021, 15:57 **[ТС]**

Sandor, готово!

@Sandor · 12.06.2021, 12:19

AdwCleaner, версия 7.2.1 - не официальная версия, деинсталлируйте. Официальная является портативной и не устанавливается в систему.

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=813024
CHR StartupUrls: Default -> "hxxp://asd/","hxxps://mail.ru/cnt/10445?gp=813024"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@mister_kryak · 12.06.2021, 16:01 **[ТС]**

Sandor, спасибо, сделал. А какой следующий шаг?

@mister_kryak · 12.06.2021, 16:53 **[ТС]**

Попробовал установить малвар с официального сайта. Получилось!
Но по поводу стиллера непонятно воруются сейчас пароли или нет. Можно уже менять на новые?

@mister_kryak · 12.06.2021, 17:01 **[ТС]**

Обнаружил троян "Amadey.E"

@Sandor · 12.06.2021, 18:59

Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

@mister_kryak · 12.06.2021, 19:06 **[ТС]**

Sandor, тут осталось из угроз только KMS Auto, это активатор Windows, он стоит с самого начала у меня

@mister_kryak · 12.06.2021, 19:16 **[ТС]**

Попытки входа продолжаются

@Sandor · 13.06.2021, 11:06

VPN не используете?
Смените важные пароли. Где возможно, используйте двух-факторную аутентификацию.

@mister_kryak · 13.06.2021, 15:21 **[ТС]**

Sandor, хорошо, спасибо вам за помощь!
использую только расширение для хром fastproxy, позволяет обходить заблокированные сайты, но я пользуюсь им уже с 2017 года так что не думаю что в нем проблема

@Sandor · 13.06.2021, 20:27

Напрасно. Всё меняется - программы, сайты и т.п. Для верности попробуйте на время отключить расширение и понаблюдайте.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@mister_kryak · 13.06.2021, 21:25 **[ТС]**

Sandor, удалил расширение от греха подальше, проделал процедуру

@Sandor · 13.06.2021, 21:39

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.20.201.1005.0009 Внимание! Скачать обновления
Яндекс.Диск v.3.2.6.4175 Внимание! Скачать обновления
FileZilla Client 3.53.0 v.3.53.0 Внимание! Скачать обновления
TeamViewer v.15.12.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46016 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления
K-Lite Codec Pack 15.6.0 Full v.15.6.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
discoDSP Discovery Pro v.6.8.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Читайте Рекомендации после удаления вредоносного ПО

@mister_kryak · 13.06.2021, 22:16 **[ТС]**

Сообщение от Sandor

Discovery Pro

Sandor, спасибо большое за помощь!

Новые блоги и статьи Все статьи Все блоги /
Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита "ПричинаСписания". . .
wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Программное заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	11.06.2021, 08:22
	Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	11.06.2021, 15:46
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@mister_kryak 1 / 1 / 0 Регистрация: 10.06.2021 Сообщений: 42
	12.06.2021, 16:53 [ТС]
	Попробовал установить малвар с официального сайта. Получилось! Но по поводу стиллера непонятно воруются сейчас пароли или нет. Можно уже менять на новые? 0

@mister_kryak 1 / 1 / 0 Регистрация: 10.06.2021 Сообщений: 42
	12.06.2021, 17:01 [ТС]
	Обнаружил троян "Amadey.E" Миниатюры 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	12.06.2021, 18:59
	Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению. 0

@mister_kryak 1 / 1 / 0 Регистрация: 10.06.2021 Сообщений: 42
	12.06.2021, 19:16 [ТС]
	Попытки входа продолжаются Миниатюры 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	13.06.2021, 11:06
	VPN не используете? Смените важные пароли. Где возможно, используйте двух-факторную аутентификацию. 0

@mister_kryak 1 / 1 / 0 Регистрация: 10.06.2021 Сообщений: 42
	13.06.2021, 15:21 [ТС]
	Sandor, хорошо, спасибо вам за помощь! использую только расширение для хром fastproxy, позволяет обходить заблокированные сайты, но я пользуюсь им уже с 2017 года так что не думаю что в нем проблема 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	13.06.2021, 20:27
	Напрасно. Всё меняется - программы, сайты и т.п. Для верности попробуйте на время отключить расширение и понаблюдайте. В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	13.06.2021, 21:39
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft OneDrive v.20.201.1005.0009 Внимание! Скачать обновления Яндекс.Диск v.3.2.6.4175 Внимание! Скачать обновления FileZilla Client 3.53.0 v.3.53.0 Внимание! Скачать обновления TeamViewer v.15.12.4 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46016 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления K-Lite Codec Pack 15.6.0 Full v.15.6.0 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- discoDSP Discovery Pro v.6.8.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Читайте Рекомендации после удаления вредоносного ПО 0