Не удаляется Троян

Не удаляется Троян, Не могу удалить троян

Администратор

Сообщений: 155 Регистрация: 24.04.2023

07.02.2024 13:28:11

Цитата
написал: А вот это появилось, когда тест закончился, я зашел посмотреть результаты.

Причины этого описаны здесь: https://remontka.pro/administrator-limited-access-windows-security/
Возможно дело даже в том, что у вас параллельно Защитнику Windows сейчас установлен PRO32. Можно попробовать для теста удалить PRO32 и проверить, разблокируется ли этот раздел, если нет - проделать рекомендации по ссылке выше. Это - опционально. Главный вопрос сейчас - вот в этом разделе (см. приложенный файл) если пролистать записи об обнаружении угроз, есть отметки за февраль, или новые записи перестали появляться в январе? Это самое главное, что нужно сейчас проверить.

Прикрепленные файлы

Def.png (96.28 КБ)

Arkalik Kanashev

Пользователь

Сообщений: 4 Регистрация: 08.02.2024

#62

08.02.2024 14:36:18

Николай Демтиров, Здравствуйте!

1. Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

2. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Изменено: Arkalik Kanashev - 08.02.2024 14:37:11

Николай Демтиров Пользователь Сообщений: 38 Регистрация: 20.01.2024	#63 0 08.02.2024 21:38:10 Здравствуйте! Сделал! Прикрепленные файлы FRST.txt (32.75 КБ) Addition.txt (35.96 КБ) AV_block_remove_2024.02.08-21.31.txt (8.84 КБ)

Николай Демтиров Пользователь Сообщений: 38 Регистрация: 20.01.2024	#64 0 08.02.2024 21:42:58 Вот этот по моему правильный! Прикрепленные файлы AV_block_remove_2024.02.08-21.38.txt (8.51 КБ) Изменено: Николай Демтиров - 08.02.2024 21:43:10

Николай Демтиров Пользователь Сообщений: 38 Регистрация: 20.01.2024	#65 0 08.02.2024 21:45:46 Без изменений! Либо я что то не так сделал!

Arkalik

Пользователь

Сообщений: 4 Регистрация: 08.02.2024

#66

09.02.2024 06:27:45

Николай Демтиров, В системе установлено несколько антивирусов:

Цитата
Malwarebytes version 4.6.8.311 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.6.8.311 - Malwarebytes) PRO32TotalSecurity (HKLM-x32\...\K7TotalSecurity) (Version: 16.00 - K7 Computing Pvt Ltd)

Удалите Malwarebytes

2. Выполните скрипт в FRST в Безопасном режиме

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
AlternateDataStreams: C:\Users\Admond\Downloads\wgz7vmc4.exe:MBAM.Zone.Identifier [204]
FirewallRules: [TCP Query User{2103FB5F-0CF4-4D1C-9D6C-8B4642F044CE}D:\games\kraymira\master.exe] => (Allow) D:\games\kraymira\master.exe => Нет файла
FirewallRules: [UDP Query User{8D99A4C6-259A-49AC-B6E2-2C3FED68B429}D:\games\kraymira\master.exe] => (Allow) D:\games\kraymira\master.exe => Нет файла
FirewallRules: [{02EAD0BF-1AD1-4395-893C-7C5ECF01CE86}] => (Allow) C:\Program Files (x86)\PaladinVPN\Paladinsvc.exe => Нет файла
FirewallRules: [{72FE8512-02A9-4D7D-AF08-DBEE20778A5E}] => (Allow) C:\Program Files (x86)\PaladinVPN\PaladinVPN.exe => Нет файла
FirewallRules: [{C945E7CB-C84B-49C9-82B5-B8F19BAC5A50}] => (Allow) C:\Program Files (x86)\PaladinVPN\feedback.exe => Нет файла
FirewallRules: [{3B8D5DCA-8732-45DE-B351-AF862F8324AA}] => (Allow) C:\Program Files (x86)\PaladinVPN\upgrade.exe => Нет файла
FirewallRules: [{394E270F-4FF9-4A61-9629-7186577A8E41}] => (Allow) C:\Program Files (x86)\PaladinVPN\tun.exe => Нет файла
FirewallRules: [{0D399CF3-6E91-4774-82A6-EAEDB3ED0521}] => (Allow) C:\Program Files (x86)\PaladinVPN\line.exe => Нет файла
FirewallRules: [{528D759D-BC72-4234-A8AC-B6F4879890EA}] => (Allow) C:\Program Files (x86)\PaladinVPN\tunnle\tunnle.exe => Нет файла
FirewallRules: [{33C7E420-9259-405B-A1CB-4D22538F107C}] => (Allow) C:\Program Files (x86)\PaladinVPN\pldsvc.exe => Нет файла
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Arkalik

Пользователь

Сообщений: 4 Регистрация: 08.02.2024

#67

09.02.2024 06:30:15

Дополнительно: У вас имеются проблемы с жестким диском, тоже надо посмотреть в каком он состояний:

Цитата
Системные ошибки: ============= Error: (02/08/2024 09:33:36 PM) (Source: disk) (EventID: 7) (User: ) Description: Неверный блок на устройстве \Device\Harddisk2\DR2. Error: (02/08/2024 09:33:36 PM) (Source: disk) (EventID: 7) (User: ) Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Николай Демтиров

Пользователь

Сообщений: 38 Регистрация: 20.01.2024

#68

09.02.2024 08:58:13

Здравствуйте! Угрозы больше не отображаются. Огромное спасибо! Есть ли советы по поводу диска? СканДиск (стандартный) ничего не выявил. Если нет, то нет. Я не в притензиях! Еще раз огромное спасибо Arkalik, Валентин Поляков (победители коронавируса моего компьютера;))

Arkalik Пользователь Сообщений: 4 Регистрация: 08.02.2024	#69 0 09.02.2024 09:03:56 Николай Демтиров, Хорошо! На счет Жесткого диска, посмотрите состояние диска (SMART) с помощью программы CrystalDiskInfo.

Николай Демтиров

Пользователь

Сообщений: 38 Регистрация: 20.01.2024

#70

09.02.2024 09:14:45

В догонку вопрос не по теме. Если триал версия PRO32 считается пробной и действует месяц, то почему в течении этого месяца ее нельзя обновить? Казалось бы, за время пробного периода, если компьютер будет хорошо защищен, то разве это не позитивно скажется на маркетинге вашего продукта?

Валентин Поляков

Администратор

Сообщений: 155 Регистрация: 24.04.2023

#71

09.02.2024 14:45:11

Цитата
написал: Если триал версия PRO32 считается пробной и действует месяц, то почему в течении этого месяца ее нельзя обновить?

Пробная версия антивируса является полностью функциональной и должна обновляться, возможно, активация пробной версии не прошла успешно?

Были рады помочь!

Николай Демтиров Пользователь Сообщений: 38 Регистрация: 20.01.2024	#72 0 09.02.2024 16:17:51 Нет. К сожалению Триал версия у меня не могла обновится с самого начала. Но возможно, дело было как раз в трояне. В любом случае еще раз спасибо!