[решено] Троян. Не виден файл host. Нет доступа к сайтам с антивирусами.

Sandor · Отправлено: **16:05, 16-04-2025** | #2

Здравствуйте!

Осталось и много

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

PticaOgnennaya · CollectionLog-2025.04.16-21.23.zip

О, боги

Sandor · Отправлено: **10:20, 17-04-2025** | #4

Хорошо, кое-что ещё нужно дочистить.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата:

Bonjour
DAEMON Tools Lite

2. Пофиксите в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O22 - Tasks: \Microsoft\Windows\DataBaseY\RecoveryHosts - C:\ProgramData\Microsoft\MapData\jStyaTGU5\DataBaseY.bat (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

PticaOgnennaya · Отправлено: **13:40, 17-04-2025** | #5

Готово

Sandor · Отправлено: **14:44, 17-04-2025** | #6

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
AlternateShell:  <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Светик\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HomePage: Profile 2 -> hxxps://find-it.pro/?utm_source=distr_m
C:\Users\Светик\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HomePage: Profile 5 -> hxxp://mail.ru/cnt/10445?gp=821272
CHR StartupUrls: Profile 5 -> "hxxp://mail.ru/cnt/10445?gp=821272"
C:\Users\Светик\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Светик\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Светик\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
FirewallRules: [{c1147d28-b7e0-4e43-8241-8c27cf9da78a}] => (Allow) C:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [{23a542f2-f65a-404e-8aab-3632fe2129d0}] => (Allow) C:\Program Files\ldplayer9box\VBoxNetNAT.exe => Нет файла
FirewallRules: [{7465932a-e68d-4106-b94e-5e0475caaea3}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Еще раз соберите новые логи FRST.txt и Addition.txt, т.к. предыдущие неполные получились.

PticaOgnennaya · Отправлено: **15:13, 17-04-2025** | #7

Готово

Sandor · Отправлено: **15:40, 17-04-2025** | #8

Цитата Sandor:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. »

Это еще забыли

PticaOgnennaya · Отправлено: **16:09, 17-04-2025** | #9

Да, точно, забыл, отправляю

Sandor · Отправлено: **16:18, 17-04-2025** | #10

Хорошо. Что сейчас с системой?