Helper vds и остальной мусор

[HotBeer]

Всё в названии темы, скрипт на флешке прятал файлы

[Sandor]

Привет!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Код:

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Users\Emachines\AppData\Roaming\WindowsServices\helper.vbs', '');
    DeleteFile('C:\Users\Emachines\AppData\Roaming\WindowsServices\helper.vbs', '64');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
   ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteWizard('SCU', 2, 3, true);
   RebootWindows(true);
   end.

   Компьютер перезагрузится.
   
   
   
2. "Пофиксите" в HijackThis:
   
   Код:

   O4 - HKCU\..\StartupApproved\Run: [MediaGet2] = "C:\Users\Emachines\MediaGet2\mediaget.exe" --minimized (file missing) (2025/03/28)
   O4 - HKCU\..\StartupApproved\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
   O4 - HKU\S-1-5-19\..\StartupApproved\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
   O4 - HKU\S-1-5-20\..\StartupApproved\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
   O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
   O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
   O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
   O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
   O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
   O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
   O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
   O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
   O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
   O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
   O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1

3. Перезагрузи компьютер и дополнительно:
   Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
   
   Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
   Когда программа запустится, нажмите Да для соглашения с предупреждением.
   
   Нажмите кнопку Сканировать (Scan).
   После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
   Подробнее читайте в этом руководстве.
   

[HotBeer]

Готово

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-990672059-3481203493-3194655096-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  HKU\S-1-5-21-990672059-3481203493-3194655096-1001\...\StartupApproved\StartupFolder: => "helper.lnk"
  FirewallRules: [{CB5D16AE-BC0D-44CF-9904-AE2E62BCD335}] => (Allow) C:\Users\Emachines\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{A129DECF-C1A0-4CF4-B24C-6320E38FB1B2}] => (Allow) C:\Users\Emachines\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{E23984B6-D14B-40EC-809F-65A992DBE28B}] => (Allow) C:\Users\Emachines\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{E0C541A2-4EA5-4E57-B03D-D13F4E981F95}] => (Allow) C:\Users\Emachines\MediaGet2\QtWebEngineProcess.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[HotBeer]

готово

[Sandor]

ОК, если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[HotBeer]

Sandor, ноут уже забрали.
Спасибо за профилактическую чистку, так как скрипт я уже руками ДО чистки удалил из системы.