Вирус на Вин 10
 

Привет всем. Нужна помощь. Антивирусная программа Microsoft Defender стала сообщать что в компьютере появились PWS:Win32/Prast!rfn. Trojan:Win32/Occamy.CAO. Trojan:Win32/Ymacco.AA27 и так далее.
Пробовал лечить Dr.Web CureIt!, Kaspersky результатов ноль.
В интернете есть программа на https://howtofix.guide/ GridinSoft Anti-Malware. Но что то отзывов положительных нет.
1. Стоит ли её использовать?
2. Как можно победить эту бяку? с чего начать?

Здравствуйте!

Начните с выполнения правил раздела:
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Спасибо за ссылку. Прикрепил файлы log. Там же скрин Мастера поиска и устранения проблем, не решился поставить галочки и запустить надо или нет?

И еще раз идем читать правила, прикрепили не то совсем.... если были сбои опишите, что произошло. И в мастер без понимания преимуществ/вреда для системы лучше не лезть.

Извините что не то прикрепил.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
2. Файл Check_Browser_Lnk.log
из папки
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Отчёт о работе в виде файла ClearLNK

Отчёт о работе в виде файла FRST

IObit Uninstaller почему не удалили?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
CHR HKU\S-1-5-21-2577881769-356289266-1155278238-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
FirewallRules: [{935F79E7-F39B-4C65-90D7-691FD90DDADE}] => (Allow) LPort=8501
FirewallRules: [{7D23495D-F83F-4AAA-9622-8E37EFB6D2DF}] => (Allow) LPort=8501
FirewallRules: [{4EC81BE4-E485-459E-8649-9B21BAE6DF6C}] => (Block) %ProgramFiles% (x86)\FotoShowPRO\FotoShowPRO.exe => Нет файла
FirewallRules: [{A2EA9B64-428E-4C63-B6A9-D3CB54DD6048}] => (Block) %ProgramFiles% (x86)\FotoShowPRO\FotoShowPRO.exe => Нет файла
FirewallRules: [{E91DABD7-3122-4477-A983-2E525AEF0D30}] => (Block) C:\Users\Kolya\AppData\Roaming\Movavi Video Editor Plus 2021 () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FirewallRules: [{48E15D0C-0432-4B1D-ADD2-150B15764D40}] => (Block) C:\Users\Kolya\AppData\Roaming\Movavi Video Editor Plus 2021 () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FirewallRules: [{16C9EF80-3AA1-4BE3-A36D-BFD26F23F2A4}] => (Allow) LPort=1688
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Дополнительно сделайте полное сканирование и прикрепите отчёт Malwarebytes.

IObitUninstaller. Эта программа у меня Portable я удалил папку подумал что все находится в ней. Сейчас все подчистил.
В программе Malwarebytes я в карантин не нажимал, жду вашего указания

Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWOW64\dwm.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWOW64\udwm.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWOW64\cdwm.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\Program Files"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В Malwarebytes ничего удалять не нужно, там в основном ваши креки.

Извиняюсь что долго. Не мог отключить защиту, потом сообразил что работает Malwarebytes.

Что сейчас из проблем осталось?

Нет изменений. Очень жаль. Придётся переустанавливать компьютер.

Защитник тоже на них реагирует.

Можете, конечно, переустановить систему. Но если снова воспользуетесь теми же (или другими) креками, ситуация повторится.
Кстати, картинки можно сразу прикреплять к сообщению, без вставления их в документ Word.