Скачал вредоносный .exe файл и теперь нет доступа к удалению его из системы, нет доступа к восстановлению

@Kitmass · Регистрация: 28.10.2022

Добрый день!
Вляпался в следующее: скачал файл-установщик, произвелась установка как оказалось совершенно не того, попытка удалить из системы обернулась обнаружением почти во всех службах строки "Некоторые из параметров скрыты или контролируются вашей организацией", до этого в системе не присутствующей. Ноутбук стал шуметь от охлаждения и сильнее греться. Разблокированная система защиты Винды через реестр не нашла никаких вирусов.

Лог по инструкции сделать не дает, признает вирусом, попытки кинуть в карантин оборачиваются вечной загрузкой. После система его удаляет.

Кидаю клич о помощи!

@Sandor · 03.11.2022, 09:16

Время проверки зависит от количества файлов и мощности компьютера.

Результат хороший:

Results Summary:
----------------
No infection found.

Повторите еще раз этот лог.

@Kitmass · 03.11.2022, 09:22 **[ТС]**

Да, вот лог:

Во время проверки сканом MSERT нашлось 21 неких подозрительных файлов в системе, но под конец не выдало сообщений о найденных угрозах, если это важно.

@Sandor · 03.11.2022, 09:29

Такой скрипт выполните:

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
Start::
StartPowershell:
# Function to manage Windows Defender, remove exclusions, run scan, report on status
  Function Manage-WindowsDefender {
    Get-MpComputerStatus
    echo "Listing of exclusions"
    Get-MpPreference | Select-Object -Expand ExclusionPath  | Out-String -width 4096
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -Force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -Force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -Force}
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
    # Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
    # Check if these services are running
    Get-Service Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, WdNisSvc | Select Name,DisplayName, Status
      # Check for signature updates
      Update-MpSignature
      Start-MpScan -ScanType QuickScan
      Remove-MpThreat
    # Check computer status again after setting to make sure changes were applied
    Get-MpComputerStatus
    Get-MpPreference
    Get-MpThreatDetection
  }
EndPowershell:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст очередной лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Kitmass · 03.11.2022, 09:54 **[ТС]**

Вот лог:

@Sandor · 03.11.2022, 09:58

Поведение Защитника не изменилось?

@Kitmass · 03.11.2022, 10:01 **[ТС]**

Решил проверить до вашего ответа: зашел в окно Защитника, он был включен, но все его службы и функции отключены. Не стал ничего трогать, закрыл окно.
Сейчас же проверил снова - Защитник Windows оказался отключен и при перезапуске выдает ту же ошибку в синем окне.

@Sandor · 03.11.2022, 10:15

Мы с вами уже вышли за рамки тематики данного раздела. Оставшаяся проблема из-за ошибок системы, вызванных скорее всего теми самыми "твиками".
Предлагаю создать тему в системном разделе и там продолжать поиск решения. Ссылку на эту тему там укажите.

@Kitmass · 03.11.2022, 10:25 **[ТС]**

Понял, то есть в системе не осталось зараженных файлов и каких-либо вирусов?
И нужно ли что-то делать с программами очистки?

@Sandor · 03.11.2022, 10:32

Верно, результаты разных сканеров это подтверждают.

Удалять следует так:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Проверьте уязвимые места и устаревшее критическое ПО:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Kitmass · 03.11.2022, 11:11 **[ТС]**

Понял, спасибо.
Вот лог:

@Sandor · 03.11.2022, 11:14

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Evernote v. 6.23.2 v.6.23.2.8859 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Skype, версия 8.62 v.8.62 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 80.0 (x86 ru) v.80.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Glary Utilities 5.196 v.5.196.0.225 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Возьмите на заметку: Рекомендации после удаления вредоносного ПО

@Kitmass · 05.11.2022, 11:16 **[ТС]**

Понял, благодарю за помощь!

Новые блоги и статьи Все статьи Все блоги /
[golang] Pipeline alhaos 08.06.2026 Pipeline Pipeline — паттерн конкурентной обработки данных в Go. Суть: данные проходят через цепочку независимых стадий, каждая из которых работает в своей горутине и общается с соседями через. . .	Свет внутри себя kumehtar 07.06.2026 Пусть это будет здесь lIs4oanZS9Y	Программа для com-порта Uhbif79 05.06.2026 Всем привет, давно хотел изучить Qt, начинал, бросал, потом снова начинал. И сейчас вот смог написать свою первую программу. До этого имел опыт программирования микроконтроллеров, писал прошивки на. . .	Транскрипция 55-минутного видео через Whisper: WhisperDesktop облажался, спас Google Colab[ anaschu 01.06.2026 Понадобилось получить текст из свежезагруженного видео на YouTube. Казалось бы, задача на пять минут. Заняла полтора часа. Делюсь опытом — может кому пригодится последовательность решений. . . .
21 мат мед. Планы на развитие модели здравоСохранения anaschu 01.06.2026 AnyLogic: план развития симуляционной модели рабочего коллектива — динамический абсентеизм, реальные данные, три сценария сравнения Продолжаю серию постов о дискретно-событийной модели рабочего. . .	20. Мат мед. Абсентеизм как отдельный тип простоя anaschu 29.05.2026 Апдейт модели: исправленные баги, абсентеизм и новые механизмы Продолжаю развивать ранее описанную модель рабочего коллектива на AnyLogic. За последние несколько дней был проведён серьёзный. . .	19. здоровье, усталость и психотип работника влияют на производительность предприятия, и наоборот, производительность на здоровье, усталось и психотип anaschu 28.05.2026 Дискретно-событийная модель рабочего коллектива на AnyLogic: здоровье, выгорание, психотипы и микростимуляция Привет, коллеги. Хочу поделиться итогами нескольких недель работы над симуляционной. . .	"Прокси" для последовательного порта Eddy_Em 28.05.2026 Эту штуку написал я достаточно давно. Но сейчас вот понадобилось настроить датчик грозы, но при этом не отключать его от "метеодемона". Соответственно, надо запустить этот "прокси": метеодемон будет. . .

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48

	Скачал вредоносный .exe файл и теперь нет доступа к удалению его из системы, нет доступа к восстановлению 28.10.2022, 17:03. Показов 3429. Ответов 51 Метки нет (Все метки) Добрый день! Вляпался в следующее: скачал файл-установщик, произвелась установка как оказалось совершенно не того, попытка удалить из системы обернулась обнаружением почти во всех службах строки "Некоторые из параметров скрыты или контролируются вашей организацией", до этого в системе не присутствующей. Ноутбук стал шуметь от охлаждения и сильнее греться. Разблокированная система защиты Винды через реестр не нашла никаких вирусов. Лог по инструкции сделать не дает, признает вирусом, попытки кинуть в карантин оборачиваются вечной загрузкой. После система его удаляет. Кидаю клич о помощи! 0

@Sandor 22528 / 15966 / 3096 Регистрация: 08.10.2012 Сообщений: 65,042
	03.11.2022, 09:58
	Поведение Защитника не изменилось? 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	03.11.2022, 10:01 [ТС]
	Решил проверить до вашего ответа: зашел в окно Защитника, он был включен, но все его службы и функции отключены. Не стал ничего трогать, закрыл окно. Сейчас же проверил снова - Защитник Windows оказался отключен и при перезапуске выдает ту же ошибку в синем окне. 0

@Sandor 22528 / 15966 / 3096 Регистрация: 08.10.2012 Сообщений: 65,042
	03.11.2022, 10:15
	Мы с вами уже вышли за рамки тематики данного раздела. Оставшаяся проблема из-за ошибок системы, вызванных скорее всего теми самыми "твиками". Предлагаю создать тему в системном разделе и там продолжать поиск решения. Ссылку на эту тему там укажите. 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	03.11.2022, 10:25 [ТС]
	Понял, то есть в системе не осталось зараженных файлов и каких-либо вирусов? И нужно ли что-то делать с программами очистки? 0

@Sandor 22528 / 15966 / 3096 Регистрация: 08.10.2012 Сообщений: 65,042
	03.11.2022, 10:32
	Верно, результаты разных сканеров это подтверждают. Удалять следует так: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22528 / 15966 / 3096 Регистрация: 08.10.2012 Сообщений: 65,042
	03.11.2022, 11:14
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Evernote v. 6.23.2 v.6.23.2.8859 Внимание! Скачать обновления Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.0.0.309 Внимание! Скачать обновления Skype, версия 8.62 v.8.62 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.8 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 80.0 (x86 ru) v.80.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ ---------------------------- [ UnwantedApps ] ----------------------------- Glary Utilities 5.196 v.5.196.0.225 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Возьмите на заметку: Рекомендации после удаления вредоносного ПО 1

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	05.11.2022, 11:16 [ТС]
	Понял, благодарю за помощь! 0