Появился скрытый пользователь John

@Max_auto · Регистрация: 09.03.2023

Студворк — интернет-сервис помощи студентам

Здравствуйте! Люди помогите, ноут крутит пропеллеры как сумасшедший, доктор вэб курент и avz не чего не находят
при попытке восстановления системы нашел скрытого пользователя как его удалить?

@Sandor · 09.03.2023, 17:25

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела (уже в нормальном режиме).

@Max_auto · 09.03.2023, 20:44 **[ТС]**

после первой проверки было предложено удалить пользователя и я согласился
пользователь исчез проверил где только мог не где нет упоминания о нём
сейчас осталась проблема с невозможностью установки антивирусов, не даёт включить штатный защитник

@Sandor · 10.03.2023, 09:16

Второй запуск AVbr был лишним.

Внимание! Рекомендации написаны специально для пользователя Max_auto. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Пофиксите в HijackThis следующие строчки:

Code
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 2
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: 8ddf1c32-8ddf-1c32-8ddf-8ddf1c328dd0 - C:\WINDOWS\system32\wscript.exe "C:\Users\user\AppData\Local\8ddf1c320.js" 75
O22 - Tasks: DRPNPSCLOUD - C:\WINDOWS\system32\mshta.exe "https://update.*******/nps/cloud/bin/tools/run.hta" "4.0.4" "" "01GV3734YW3BD136CB1ZVRP567"
O22 - Tasks: DRPNPSCLOUD - C:\WINDOWS\system32\SCHTASKS.exe /Delete /TN DRPNPSCLOUD /F

Перезагрузите компьютер.

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

@Max_auto · 10.03.2023, 15:12 **[ТС]**

всё сделал

@Sandor · 10.03.2023, 15:27

Предустановленное ПО не трогайте (не отмечайте галочками), остальное чистим:
1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
Убедитесь, что закрыты все браузеры.
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

2.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Max_auto · 10.03.2023, 20:45 **[ТС]**

пришлось выбрать встроенное по, иначе была не активна кнопка карантин

@Max_auto · 10.03.2023, 21:15 **[ТС]**

стала запускаться установка антивирусов(устанавливать не стал)
свободно заходит на сайты антивирусов(раньше закрывался браузер)
из известных мне неполадок остался только не включающийся штатный защитник
все приложения в трее стали сами закрываться

@Sandor · 11.03.2023, 13:02

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {146e4bc0-149a-11eb-898d-9828a637a4ab} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {2b58685d-4e01-11eb-8999-9828a637a4ab} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {2d43d8e5-d3ed-11eb-89ac-5076afd8bb06} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {61754eea-8c56-11eb-89a6-9828a637a4ab} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {afb47620-854f-11ed-89fa-9828a637a4ab} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {b56ce7d2-0a33-11ec-89b1-5076afd8bb06} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {c3926e7f-bc6b-11eb-89aa-9828a637a4ab} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3616487801-564135181-491852323-1001\...\MountPoints2: {ff58dbbf-af40-11ea-8969-9828a637a4ab} - "E:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.13 - Google LLC) Hidden
AlternateDataStreams: C:\ProgramData:3f80b7866a646e [5618]
AlternateDataStreams: C:\ProgramData:fe93a19e34e9a [4994]
AlternateDataStreams: C:\Windows:ecde8b8c58b22 [4144]
AlternateDataStreams: C:\Program Files (x86)\AlGasSynchro:c0172cf5d3aff51 [4724]
AlternateDataStreams: C:\Program Files (x86)\Common Files:79042dc97 [3748]
AlternateDataStreams: C:\WINDOWS\System32:1464242f5a [4898]
AlternateDataStreams: C:\Users\All Users:3f80b7866a646e [5618]
AlternateDataStreams: C:\Users\All Users:fe93a19e34e9a [4994]
AlternateDataStreams: C:\Users\user:be59400977c97 [2288]
AlternateDataStreams: C:\Users\Все пользователи:3f80b7866a646e [5618]
AlternateDataStreams: C:\Users\Все пользователи:fe93a19e34e9a [4994]
AlternateDataStreams: C:\ProgramData\Application Data:3f80b7866a646e [5618]
AlternateDataStreams: C:\ProgramData\Application Data:fe93a19e34e9a [4994]
AlternateDataStreams: C:\Users\Default\AppData\Local\History:ca4617ee9b [1694]
AlternateDataStreams: C:\Users\user\Application Data:79eeb82a3ef3dae [1502]
AlternateDataStreams: C:\Users\user\Local Settings:0d23922951143 [1396]
AlternateDataStreams: C:\Users\user\AppData\Local:0d23922951143 [1396]
AlternateDataStreams: C:\Users\user\AppData\Roaming:79eeb82a3ef3dae [1502]
AlternateDataStreams: C:\Users\user\AppData\Local\Application Data:0d23922951143 [1396]
AlternateDataStreams: C:\Users\user\AppData\Local\History:8be0c32db [1846]
AlternateDataStreams: C:\Users\user\AppData\Local\Temp:deb0accb84f [4982]
AlternateDataStreams: C:\Users\мастер\AppData\Local\History:ca4617ee9b [1694]
FirewallRules: [{55DE0E13-4982-4864-8080-39190F2D2CA5}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Max_auto · 11.03.2023, 16:40 **[ТС]**

все сделано

@Max_auto · 11.03.2023, 17:11 **[ТС]**

проблема с штатным защитником осталась

@Sandor · 13.03.2023, 09:16

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

@Max_auto · 13.03.2023, 10:59 **[ТС]**

отсканировал

@Sandor · 13.03.2023, 11:17

Пробуем так:

Запустите командную строку от имени администратора (Пуск -> cmd -> запустить от имени..)
Введите последовательно команды

Code
1
2
sc config SecurityHealthService start= demand
sc start SecurityHealthService

Перезагрузите компьютер и проверьте.

@Max_auto · 13.03.2023, 17:22 **[ТС]**

при вводе любой из команд вылетает ошибка

[SC] StartService: OpenService: ошибка: 1060:
Указанная служба не установлена.

Добавлено через 2 минуты
но обе команды ввёл и перезагрузился,
не помогло

@Sandor · 13.03.2023, 17:31

Раз выполнение команды сопровождается ошибкой, понятно, что не поможет )

Сделайте следующее

Отключите до перезагрузки антивирус, но не отключайте сеть.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания.

@Max_auto · 13.03.2023, 17:50 **[ТС]**

При первом запуске исправления (только нажал кнопку) выскачил синий, комп перезагрузился
Запустил повторно, пока идёт процес

@Max_auto · 13.03.2023, 17:58 **[ТС]**

скрипт выполнен

@Sandor · 14.03.2023, 09:22

Если положение с Защитником не улучшилось, предлагаю создать тему в системном разделе форума.
Предположу, что ранее был использован некий твик для отключения Защитника.

Ссылку на эту тему там укажите обязательно.

@Max_auto · 14.03.2023, 11:27 **[ТС]**

Спасибо огромное за помощь в моей проблеме! Спасли кучу моего времени! Я уже собирался винду переустанавливать но потом бы потратил месяцы на восстановление лицензий на рабочие приложения!

Добавлено через 2 минуты
Тему создал, ссылку указал, надеюсь помогут!

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14

	Появился скрытый пользователь John 09.03.2023, 17:14. Показов 16818. Ответов 19 Метки нет (Все метки) Здравствуйте! Люди помогите, ноут крутит пропеллеры как сумасшедший, доктор вэб курент и avz не чего не находят при попытке восстановления системы нашел скрытого пользователя как его удалить? 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	09.03.2023, 17:25
	Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите CollectionLog Автологером по правилам раздела (уже в нормальном режиме). 1

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	10.03.2023, 09:16
	Второй запуск AVbr был лишним. Внимание! Рекомендации написаны специально для пользователя Max_auto. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Пофиксите в HijackThis следующие строчки: Code O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 2 O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks: 8ddf1c32-8ddf-1c32-8ddf-8ddf1c328dd0 - C:\WINDOWS\system32\wscript.exe "C:\Users\user\AppData\Local\8ddf1c320.js" 75 O22 - Tasks: DRPNPSCLOUD - C:\WINDOWS\system32\mshta.exe "https://update.*****/nps/cloud/bin/tools/run.hta" "4.0.4" "" "01GV3734YW3BD136CB1ZVRP567" O22 - Tasks: DRPNPSCLOUD - C:\WINDOWS\system32\SCHTASKS.exe /Delete /TN DRPNPSCLOUD /F Перезагрузите компьютер. Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner**. 1

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	10.03.2023, 15:27
	Сообщение было отмечено Max_auto как решение Решение Предустановленное ПО не трогайте (не отмечайте галочками), остальное чистим: 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome Убедитесь, что закрыты все браузеры. В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! 2.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14
	10.03.2023, 21:15 [ТС]
	стала запускаться установка антивирусов(устанавливать не стал) свободно заходит на сайты антивирусов(раньше закрывался браузер) из известных мне неполадок остался только не включающийся штатный защитник все приложения в трее стали сами закрываться 0

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14
	11.03.2023, 17:11 [ТС]
	проблема с штатным защитником осталась 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	13.03.2023, 09:16
	Скачайте Farbar Service Scanner Запустите. Убедитесь, что отмечены пункты: Internet Services Windows Firewall System Restore Security Center/Action Center Windows Update Windows Defender Нажмите кнопку "Scan" Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита. Прикрепите этот файл к своему ответу. 1

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14
	13.03.2023, 17:22 [ТС]
	при вводе любой из команд вылетает ошибка [SC] StartService: OpenService: ошибка: 1060: Указанная служба не установлена. Добавлено через 2 минуты но обе команды ввёл и перезагрузился, не помогло 0

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14
	13.03.2023, 17:50 [ТС]
	При первом запуске исправления (только нажал кнопку) выскачил синий, комп перезагрузился Запустил повторно, пока идёт процес Миниатюры 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	14.03.2023, 09:22
	Если положение с Защитником не улучшилось, предлагаю создать тему в системном разделе форума. Предположу, что ранее был использован некий твик для отключения Защитника. Ссылку на эту тему там укажите обязательно. 1

@Max_auto 2 / 2 / 0 Регистрация: 09.03.2023 Сообщений: 14
	14.03.2023, 11:27 [ТС]
	Спасибо огромное за помощь в моей проблеме! Спасли кучу моего времени! Я уже собирался винду переустанавливать но потом бы потратил месяцы на восстановление лицензий на рабочие приложения! Добавлено через 2 минуты Тему создал, ссылку указал, надеюсь помогут! 1

Появился скрытый пользователь John

Решение