Скачал вредоносный .exe файл и теперь нет доступа к удалению его из системы, нет доступа к восстановлению

@Kitmass · Регистрация: 28.10.2022

Студворк — интернет-сервис помощи студентам

Добрый день!
Вляпался в следующее: скачал файл-установщик, произвелась установка как оказалось совершенно не того, попытка удалить из системы обернулась обнаружением почти во всех службах строки "Некоторые из параметров скрыты или контролируются вашей организацией", до этого в системе не присутствующей. Ноутбук стал шуметь от охлаждения и сильнее греться. Разблокированная система защиты Винды через реестр не нашла никаких вирусов.

Лог по инструкции сделать не дает, признает вирусом, попытки кинуть в карантин оборачиваются вечной загрузкой. После система его удаляет.

Кидаю клич о помощи!

@Kitmass · 28.10.2022, 17:50 **[ТС]**

Получилось сделать логи, отключив защиту Винды на время (постоянно норовит защиту в реальном времени обратно поставить), вот:

@Kitmass · 28.10.2022, 19:09 **[ТС]**

Прошу прощения, не тот добавил.

@Sandor · 30.10.2022, 14:22

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Kitmass · 30.10.2022, 14:53 **[ТС]**

Добрый день! Сейчас пришлю.
Вот АВ блоком созданный лог.

@Sandor · 30.10.2022, 14:59

Сообщение от Kitmass

Вот АВ блоком созданный лог.

Программа не отработала до конца. Запустите ещё раз. После перезагрузки

Сообщение от Sandor

соберите новый CollectionLog Автологером

@Kitmass · 30.10.2022, 15:17 **[ТС]**

Понял Вас, вот:

@Sandor · 30.10.2022, 15:22

Логи уже выглядят лучше. Как себя ведёт система?

@Kitmass · 30.10.2022, 15:37 **[ТС]**

Процессор выглядит ненагруженным под 100%, судя по показателям Аиды64, но тепература держится под 70-75 градусов. Постоянно шумит в простое куллером. Установил также anvirrus, показывает около 600+ процессов в автозагрузке, а также странные сервисы, работающие на фоне (скриншоты в закрепе).
При попытках перевести в ручной контроль и остановить их выдает ошибку с отказом в доступе.
MalwareBytes установленный также выдает ошибку "Unable To Connect The Service".

Насчет производительности сказать ничего не могу, не замечал. Ну правда максимальная нагрузка для ноута - это серфинг в браузере, но никаких тормозов, крашей нет.

До этого кстати сейчас, при создании лога АВ Блокером нашелся майнер, в самом окне проверки выдало. Спросило, что с ним делать, ответил оставить по умолчанию (ответ "да"). Ничего вроде бы после этого не произошло.

Проблема появилась после скачивания и открытия пиратского установщика "Microsoft word", если это важно, с подозрительного сайта. Не придал должного значения

@Sandor · 31.10.2022, 09:20

Сообщение от Kitmass

странные сервисы

Ничего странного. Не нужно пытаться их остановить.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Kitmass · 31.10.2022, 09:29 **[ТС]**

Доброе утро!
Файлы скана в архиве потому, что сайт не дает прикрепить текстовые - превышает максимальный размер файлов, разрешенных на сайте

@Sandor · 31.10.2022, 09:51

Внимание! Рекомендации написаны специально для пользователя Kitmass. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

powerseller-plymouth

Не сможете стандартно, удалите принудительно через Geek Uninstaller

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-678907501-3959730684-3581234580-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=855100","hxxp://mail.ru/cnt/10445?gp=855400"
S3 458FBB3F9ADE0594; \??\C:\Users\saspe\AppData\Local\Temp\9722169F-945800B8-5F9FB68F-723F2174\18ee20908.sys [X] <==== ВНИМАНИЕ
FirewallRules: [{BCA2492A-6A5B-49C5-ACBB-91F469287FB3}] => (Allow) LPort=9393
FirewallRules: [{453C3AAB-5303-495D-81F6-73A9EE80E07A}] => (Allow) LPort=9494
FirewallRules: [{56DCA11D-4CCF-45E9-941D-0BE018AC0A4A}] => (Allow) LPort=9393
FirewallRules: [{533DCB9A-62EC-4C06-80F9-27A7698F31DF}] => (Allow) LPort=9494
FirewallRules: [{0671CAB2-7DE4-46C8-BBBD-BE2F9608C3D5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{58B5E818-8FF6-4D10-BBE7-7D884437CD3B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{FC662AC0-DD02-43A7-8DEB-CE207F212D45}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Kitmass · 31.10.2022, 10:02 **[ТС]**

Удалить получилось через программу, а вот лог:

@Sandor · 31.10.2022, 10:04

Хорошо. Что сейчас из проблем осталось?

@Kitmass · 31.10.2022, 10:29 **[ТС]**

Также сильно греется процессор - 60с.-72с., продолжает шуметь куллер. Упд: прямо сейчас температура дошла до 82с.
Права вроде бы снова есть на все, могу к примеру начать процедуру восстановления и удалять программы. MalwareBytes также не открывается, но возможно нужно просто переустановить. Репейр кит закрывается сам при попытке починить Малвейр или найти неисправности в программе.

Добавлено через 2 минуты
Также после переустановки MalwareBytes и перезагрузки системы, на экране ввода пароля (кажется, при подключении к Вай-фаю), ноут самопроизвольно перезагружается дважды, при входе же в профиль выплывает окно с ошибкой установки MalwareBytes.

Добавлено через 5 минут
Также при попытке в "Конфигурации системы" выставить вариант "Диагностический запуск" по какой-то причине при подтверждении выставляется "Выборочный запуск" с выделением опции "загружать системные службы". Думал запустить Malwarebytes в безопасном режиме, но так понимаю от вируса это не поможет.

@Sandor · 31.10.2022, 10:34

Сообщение от Kitmass

MalwareBytes также не открывается

Пробуйте так:

Скачайте и запустите Malwarebytes Support Tool.
Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
Перезагрузите компьютер при появлении запроса.
После перезагрузки утилита запустится для окончательной очистки.

@Kitmass · 31.10.2022, 11:41 **[ТС]**

Нажал на "Clear", началась новая установка MalwareBytes, завершилась и выдало следующую ошибку (скрин).
Но позже как-то программа все же запустилась, увидел значок в трее. Сейчас провожу проверку

@Kitmass · 31.10.2022, 11:46 **[ТС]**

Система прошла проверку, нашлись следующие подозрительные файлы (все помещены в карантин)

При этом перед проверкой, после установки, перезагрузки принудительной не осуществлялось

@Sandor · 31.10.2022, 11:47

Отчёт сохраните как текстовый файл и прикрепите к следующему сообщению.

@Kitmass · 31.10.2022, 11:52 **[ТС]**

Вот:

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48

	Скачал вредоносный .exe файл и теперь нет доступа к удалению его из системы, нет доступа к восстановлению 28.10.2022, 17:03. Показов 3140. Ответов 51 Метки нет (Все метки) Добрый день! Вляпался в следующее: скачал файл-установщик, произвелась установка как оказалось совершенно не того, попытка удалить из системы обернулась обнаружением почти во всех службах строки "Некоторые из параметров скрыты или контролируются вашей организацией", до этого в системе не присутствующей. Ноутбук стал шуметь от охлаждения и сильнее греться. Разблокированная система защиты Винды через реестр не нашла никаких вирусов. Лог по инструкции сделать не дает, признает вирусом, попытки кинуть в карантин оборачиваются вечной загрузкой. После система его удаляет. Кидаю клич о помощи! 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	30.10.2022, 14:22
	Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	30.10.2022, 15:22
	Логи уже выглядят лучше. Как себя ведёт система? 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	30.10.2022, 15:37 [ТС]
	Процессор выглядит ненагруженным под 100%, судя по показателям Аиды64, но тепература держится под 70-75 градусов. Постоянно шумит в простое куллером. Установил также anvirrus, показывает около 600+ процессов в автозагрузке, а также странные сервисы, работающие на фоне (скриншоты в закрепе). При попытках перевести в ручной контроль и остановить их выдает ошибку с отказом в доступе. MalwareBytes установленный также выдает ошибку "Unable To Connect The Service". Насчет производительности сказать ничего не могу, не замечал. Ну правда максимальная нагрузка для ноута - это серфинг в браузере, но никаких тормозов, крашей нет. До этого кстати сейчас, при создании лога АВ Блокером нашелся майнер, в самом окне проверки выдало. Спросило, что с ним делать, ответил оставить по умолчанию (ответ "да"). Ничего вроде бы после этого не произошло. Проблема появилась после скачивания и открытия пиратского установщика "Microsoft word", если это важно, с подозрительного сайта. Не придал должного значения Миниатюры 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	31.10.2022, 10:04
	Хорошо. Что сейчас из проблем осталось? 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	31.10.2022, 10:29 [ТС]
	Также сильно греется процессор - 60с.-72с., продолжает шуметь куллер. Упд: прямо сейчас температура дошла до 82с. Права вроде бы снова есть на все, могу к примеру начать процедуру восстановления и удалять программы. MalwareBytes также не открывается, но возможно нужно просто переустановить. Репейр кит закрывается сам при попытке починить Малвейр или найти неисправности в программе. Добавлено через 2 минуты Также после переустановки MalwareBytes и перезагрузки системы, на экране ввода пароля (кажется, при подключении к Вай-фаю), ноут самопроизвольно перезагружается дважды, при входе же в профиль выплывает окно с ошибкой установки MalwareBytes. Добавлено через 5 минут Также при попытке в "Конфигурации системы" выставить вариант "Диагностический запуск" по какой-то причине при подтверждении выставляется "Выборочный запуск" с выделением опции "загружать системные службы". Думал запустить Malwarebytes в безопасном режиме, но так понимаю от вируса это не поможет. 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	31.10.2022, 11:41 [ТС]
	Нажал на "Clear", началась новая установка MalwareBytes, завершилась и выдало следующую ошибку (скрин). Но позже как-то программа все же запустилась, увидел значок в трее. Сейчас провожу проверку Миниатюры 0

@Kitmass 1 / 1 / 0 Регистрация: 28.10.2022 Сообщений: 48
	31.10.2022, 11:46 [ТС]
	Система прошла проверку, нашлись следующие подозрительные файлы (все помещены в карантин) При этом перед проверкой, после установки, перезагрузки принудительной не осуществлялось Миниатюры 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	31.10.2022, 11:47
	Отчёт сохраните как текстовый файл и прикрепите к следующему сообщению. 0

Скачал вредоносный .exe файл и теперь нет доступа к удалению его из системы, нет доступа к восстановлению

Решение