Antareska 0 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Помогите удалить вирус.Открывает вкладки хром CollectionLog-2019.04.13-16.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\UuBdWvPhYJRUMoVB\BMQqnTF.wsf',''); QuarantineFile('C:\Program Files (x86)\HwmnrJAOrHv\HwmnrJAOrHv.dll',''); QuarantineFile('C:\Program Files (x86)\FIOIhwxDgWeVC\NLhpVXC.dll',''); QuarantineFile('C:\Program Files (x86)\nckTEZzRemtVffbHobR\TaZFVLv.dll',''); QuarantineFile('C:\Program Files (x86)\rpqKkZxEWouU2\toadSPidyRAZK.dll',''); QuarantineFile('C:\Program Files (x86)\BDaKbhYEU\odPdRZ.dll',''); DelBHO('{BD8F5962-662E-40B7-B0ED-3822C5459682}'); DeleteService('Starter Check'); SetServiceStart('CRMSvc', 4); DeleteService('CRMSvc'); QuarantineFile('C:\Users\NAME\AppData\Roaming\CRMSvc\CRMSvc.exe',''); DeleteService('rcdll'); QuarantineFile('C:\Users\NAME\AppData\Local\Temp\rcdll.exe',''); QuarantineFile('C:\Program Files (x86)\aliyBIkXlIE\kriO6CK.dll',''); QuarantineFile('C:\Program Files (x86)\aliyBIkXlIE\9ti7YuO.dll',''); TerminateProcessByName('c:\program files\xlia8ji9pa\xlia8ji9p.exe'); QuarantineFile('c:\program files\xlia8ji9pa\xlia8ji9p.exe',''); TerminateProcessByName('c:\users\name\appdata\roaming\nxcs02pybfq\nkbfqxvzxrr.exe'); TerminateProcessByName('c:\users\name\appdata\local\temp\is-c3iml.tmp\nkbfqxvzxrr.tmp'); QuarantineFile('c:\users\name\appdata\local\temp\is-c3iml.tmp\nkbfqxvzxrr.tmp',''); QuarantineFile('c:\users\name\appdata\roaming\nxcs02pybfq\nkbfqxvzxrr.exe',''); TerminateProcessByName('c:\users\name\appdata\roaming\crmsvc\crmsvc.exe'); TerminateProcessByName('c:\program files\eynjzn6pcl\eynjzn6pc.exe'); TerminateProcessByName('c:\windows\temp\g5771.tmp.exe'); TerminateProcessByName('c:\program files (x86)\aliybikxlie\ggipwzevkk.exe'); QuarantineFile('c:\program files (x86)\aliybikxlie\ggipwzevkk.exe',''); QuarantineFile('c:\windows\temp\g5771.tmp.exe',''); QuarantineFile('c:\program files\eynjzn6pcl\eynjzn6pc.exe',''); QuarantineFile('c:\users\name\appdata\roaming\crmsvc\crmsvc.exe',''); TerminateProcessByName('c:\program files\cdr1rddbl6\cdr1rddbl.exe'); QuarantineFile('c:\program files\cdr1rddbl6\cdr1rddbl.exe',''); TerminateProcessByName('c:\users\name\appdata\roaming\1izqdxaslyw\0v3gl0btosw.exe'); TerminateProcessByName('c:\users\name\appdata\local\temp\is-q85i2.tmp\0v3gl0btosw.tmp'); TerminateProcessByName('c:\users\name\appdata\roaming\1z3u523lilg\444mmiaac5m.exe'); TerminateProcessByName('c:\users\name\appdata\local\temp\is-5mrsd.tmp\444mmiaac5m.tmp'); TerminateProcessByName('c:\program files (x86)\lets\486963154.exe'); TerminateProcessByName('c:\users\name\appdata\roaming\bmocsmyzwxa\a4dnch4nfvy.exe'); TerminateProcessByName('c:\users\name\appdata\local\temp\is-3klte.tmp\a4dnch4nfvy.tmp'); QuarantineFile('c:\users\name\appdata\local\temp\is-3klte.tmp\a4dnch4nfvy.tmp',''); QuarantineFile('c:\users\name\appdata\roaming\bmocsmyzwxa\a4dnch4nfvy.exe',''); QuarantineFile('c:\program files (x86)\lets\486963154.exe',''); QuarantineFile('c:\users\name\appdata\local\temp\is-5mrsd.tmp\444mmiaac5m.tmp',''); QuarantineFile('c:\users\name\appdata\roaming\1z3u523lilg\444mmiaac5m.exe',''); QuarantineFile('c:\users\name\appdata\local\temp\is-q85i2.tmp\0v3gl0btosw.tmp',''); QuarantineFile('c:\users\name\appdata\roaming\1izqdxaslyw\0v3gl0btosw.exe',''); DeleteFile('c:\users\name\appdata\roaming\1izqdxaslyw\0v3gl0btosw.exe','32'); DeleteFile('c:\users\name\appdata\local\temp\is-q85i2.tmp\0v3gl0btosw.tmp','32'); DeleteFile('c:\users\name\appdata\roaming\1z3u523lilg\444mmiaac5m.exe','32'); DeleteFile('c:\users\name\appdata\local\temp\is-5mrsd.tmp\444mmiaac5m.tmp','32'); DeleteFile('c:\program files (x86)\lets\486963154.exe','32'); DeleteFile('c:\users\name\appdata\roaming\bmocsmyzwxa\a4dnch4nfvy.exe','32'); DeleteFile('c:\users\name\appdata\local\temp\is-3klte.tmp\a4dnch4nfvy.tmp','32'); DeleteFile('c:\program files\cdr1rddbl6\cdr1rddbl.exe','32'); DeleteFile('c:\users\name\appdata\roaming\crmsvc\crmsvc.exe','32'); DeleteFile('c:\program files\eynjzn6pcl\eynjzn6pc.exe','32'); DeleteFile('c:\windows\temp\g5771.tmp.exe','32'); DeleteFile('c:\program files (x86)\aliybikxlie\ggipwzevkk.exe','32'); DeleteFile('c:\users\name\appdata\roaming\nxcs02pybfq\nkbfqxvzxrr.exe','32'); DeleteFile('c:\users\name\appdata\local\temp\is-c3iml.tmp\nkbfqxvzxrr.tmp','32'); DeleteFile('c:\program files\xlia8ji9pa\xlia8ji9p.exe','32'); DeleteFile('C:\Program Files (x86)\aliyBIkXlIE\9ti7YuO.dll','32'); DeleteFile('C:\Program Files (x86)\aliyBIkXlIE\kriO6CK.dll','32'); DeleteFile('C:\Users\NAME\AppData\Local\Temp\rcdll.exe','64'); DeleteFile('C:\Users\NAME\AppData\Roaming\CRMSvc\CRMSvc.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2341366','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C48KY7B0JWASONS','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5636317','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','51O4ME53C0KY9FD','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6124511','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6863888','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Z5ZWYAOGZ6WPG69','x32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','h5hvkic2m1k','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C48KY7B0JWASONS','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2341366','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5636317','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','51O4ME53C0KY9FD','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6124511','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6863888','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Z5ZWYAOGZ6WPG69','x64'); DeleteFile('C:\Program Files (x86)\BDaKbhYEU\odPdRZ.dll','64'); DeleteFile('C:\Program Files (x86)\rpqKkZxEWouU2\toadSPidyRAZK.dll','64'); DeleteSchedulerTask('augsijBPpDWbmS'); DeleteSchedulerTask('AnVDoMYPdlSYoXw2'); DeleteFile('C:\Program Files (x86)\nckTEZzRemtVffbHobR\TaZFVLv.dll','64'); DeleteFile('C:\Program Files (x86)\FIOIhwxDgWeVC\NLhpVXC.dll','64'); DeleteFile('C:\Program Files (x86)\HwmnrJAOrHv\HwmnrJAOrHv.dll','64'); DeleteFile('C:\ProgramData\UuBdWvPhYJRUMoVB\BMQqnTF.wsf','64'); DeleteSchedulerTask('kQPOAcCRavYRc2'); DeleteSchedulerTask('HwmnrJAOrHv'); DeleteSchedulerTask('esgLguAvYAzBucUaRbN2'); DeleteSchedulerTask('dudWmRhRoqsSawPzq2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 CollectionLog-2019.04.13-18.31.zipЗагрузила новый лог еще сюда кину Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Я какой файл просил загрузить по ссылке на сбор карантина? Переделывайте. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 переделала Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 вотDownloads.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 YoutubeAdBlock удалите через Установку программ. 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBD8Dduob2KUI4N-jvGYJcYyiTS2ORmYl1NRr3NJxTSHrJEZcRGVP3rL5LMYkAq-S66xtyP3i-Z5-8_nf7aiTRCpIJHy0vGY5x-0tnMGYoUGM90g6hChbCRYPRVSG2tq8smpROVBb2ODbI_IsHAJtqE5AOqmdvgbxjyJQ0uHfAxOVI-GVA,&q={searchTerms} HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBD8Dduob2KUI4N-jvGYJcYyiTS2ORmYl1NRr3NJxTSHrJEZcRGVP3rL5LMYkAq-S66xtyP3i-Z5-8_nf7aiTRCqOlzS5Z0fcUGZlamL4sHstDcg_eVKfyHzNlCS-6GI_ui2RzE5eXVv4Q_vLufToXI7B01LJ7WNiTStmCZsMd4oMX-NAM, BHO: YoutubeAdBlock -> {BD8F5962-662E-40B7-B0ED-3822C5459682} -> C:\Program Files (x86)\aliyBIkXlIE\tdIR3ZI.dll [2019-04-13] () [File not signed] Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File C:\Users\NAME\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap C:\Users\NAME\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm C:\Users\NAME\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\cgnliklnahmpibflpkiemfhpiecfleah C:\Users\NAME\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pookachmhghnpgjhebhilcidgdphdlhi OPR Extension: (Adblocker for Youtube™) - C:\Users\NAME\AppData\Roaming\Opera Software\Opera Stable\Extensions\beablbkeolnmmgfdbpccjbnheidinhbk [2019-04-13] OPR Extension: (chrome_filter) - C:\Users\NAME\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgnliklnahmpibflpkiemfhpiecfleah [2019-04-13] OPR Extension: (Newtab.club) - C:\Users\NAME\AppData\Roaming\Opera Software\Opera Stable\Extensions\pookachmhghnpgjhebhilcidgdphdlhi [2019-01-19] S2 0033221529388100mcinstcleanup; C:\Users\NAME\AppData\Local\Temp\003322~1.EXE -cleanup -nolog [X] <==== ATTENTION 2019-04-13 17:41 - 2019-04-13 18:11 - 000000000 ____D C:\Program Files\67PGD0UYUF 2019-04-13 17:41 - 2019-04-13 17:41 - 000000000 ____D C:\Users\NAME\AppData\Roaming\r24ifks5dqh 2019-04-13 17:01 - 2019-04-13 17:01 - 000000000 ____D C:\Users\NAME\AppData\Roaming\oik3tf0zvgz 2019-04-13 17:01 - 2019-04-13 17:01 - 000000000 ____D C:\Program Files\US1WEBPWOI 2019-04-13 16:21 - 2019-04-13 17:51 - 000000000 ____D C:\Users\NAME\AppData\Roaming\bmocsmyzwxa 2019-04-13 16:21 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files\XLIA8JI9PA 2019-04-13 16:14 - 2019-04-13 16:24 - 000000000 ____D C:\Users\NAME\AppData\LocalLow\GEhHGYpyxLTaL 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Users\Все пользователи\UuBdWvPhYJRUMoVB 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\ProgramData\UuBdWvPhYJRUMoVB 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\rpqKkZxEWouU2 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\nckTEZzRemtVffbHobR 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\FIOIhwxDgWeVC 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\BDaKbhYEU 2019-04-13 15:42 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\aliyBIkXlIE 2019-04-13 15:42 - 2019-04-13 15:42 - 000000000 ____D C:\Program Files (x86)\mhShVMQuuTUn 2019-04-13 15:41 - 2019-04-13 17:51 - 000000000 ____D C:\Users\NAME\AppData\Roaming\CRMSvc 2019-04-13 15:41 - 2019-04-13 17:51 - 000000000 ____D C:\Users\NAME\AppData\Roaming\1z3u523lilg 2019-04-13 15:41 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files\CDR1RDDBL6 2019-04-13 15:33 - 2019-04-13 17:51 - 000000000 ____D C:\Users\NAME\AppData\Roaming\nxcs02pybfq 2019-04-13 15:33 - 2019-04-13 15:33 - 000000000 ____D C:\Program Files\0O8MMT42FB 2019-04-13 14:59 - 2019-04-13 17:51 - 000000000 ____D C:\Users\NAME\AppData\Roaming\1izqdxaslyw 2019-04-13 14:59 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files\EYNJZN6PCL 2019-04-13 14:18 - 2019-04-13 14:57 - 000000000 ____D C:\Users\NAME\AppData\Roaming\aifnya21cwy 2019-04-13 14:18 - 2019-04-13 14:57 - 000000000 ____D C:\Program Files\2CJMOL7MCM 2019-04-13 13:39 - 2019-04-13 14:57 - 000000000 ____D C:\Program Files (x86)\SmartData 2019-04-13 13:39 - 2019-04-13 14:46 - 000000000 ____D C:\Users\NAME\AppData\Local\App 2019-04-13 13:38 - 2019-04-13 14:57 - 000000000 ____D C:\Users\NAME\AppData\Roaming\tkwz5tmuiyp 2019-04-13 13:38 - 2019-04-13 14:57 - 000000000 ____D C:\Program Files\BHGWAC78NZ 2019-04-01 21:20 - 2019-04-03 08:45 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2019-04-01 21:20 - 2019-04-03 08:45 - 000000004 _____ C:\ProgramData\lock.dat 2019-04-01 21:20 - 2019-04-01 21:22 - 000000008 _____ C:\Users\Все пользователи\irw.atsd 2019-04-01 21:20 - 2019-04-01 21:22 - 000000008 _____ C:\ProgramData\irw.atsd 2019-04-01 21:20 - 2019-04-01 21:20 - 000000008 _____ C:\Users\Все пользователи\ts.dat 2019-04-01 21:20 - 2019-04-01 21:20 - 000000008 _____ C:\ProgramData\ts.dat 2019-04-01 20:42 - 2019-04-13 14:46 - 000000000 ____D C:\Users\Все пользователи\localNETService 2019-04-01 20:42 - 2019-04-13 14:46 - 000000000 ____D C:\ProgramData\localNETService 2019-04-01 20:36 - 2019-04-01 20:37 - 000000000 ____D C:\Users\Все пользователи\{D66E15BA-7B2F-F23A-DE7B-9F30F7A7A6AF} 2019-04-01 20:36 - 2019-04-01 20:37 - 000000000 ____D C:\ProgramData\{D66E15BA-7B2F-F23A-DE7B-9F30F7A7A6AF} 2019-04-01 20:21 - 2019-04-13 17:54 - 000000000 ____D C:\Program Files (x86)\HwmnrJAOrHv 2019-04-01 20:21 - 2019-04-13 17:52 - 000016818 _____ C:\Windows\System32\Tasks\HwmnrJAOrHv 2019-04-01 20:19 - 2019-04-01 20:19 - 002035759 _____ C:\Users\NAME\AppData\Local\Tanhome.tst 2019-04-01 20:19 - 2019-04-01 20:19 - 000070992 _____ C:\Users\NAME\AppData\Local\Config.xml 2019-04-01 20:19 - 2019-04-01 20:19 - 000005568 _____ C:\Users\NAME\AppData\Local\md.xml 2019-04-01 20:18 - 2019-04-13 17:51 - 000000000 ____D C:\Program Files (x86)\Lets 2019-04-01 20:18 - 2019-04-01 21:18 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu 2019-04-01 20:18 - 2019-04-01 21:18 - 000000000 ____D C:\ProgramData\WindowsMenu 2019-04-01 20:18 - 2019-04-01 20:18 - 000722944 _____ C:\Users\NAME\AppData\Local\sha.db 2019-04-01 20:18 - 2019-04-01 20:18 - 000140800 _____ C:\Users\NAME\AppData\Local\installer.dat 2019-04-13 13:39 - 2019-04-13 13:39 - 001578496 _____ () C:\Users\NAME\AppData\Local\Temp\1555151956418.exe 2019-04-13 13:38 - 2019-04-13 13:38 - 001191936 _____ () C:\Users\NAME\AppData\Local\Temp\rcdll.dll 2019-04-13 13:39 - 2019-04-13 13:39 - 000821760 _____ () C:\Users\NAME\AppData\Local\Temp\reestr.exe 2019-04-13 13:38 - 2014-07-25 05:39 - 000293320 _____ (深圳市迅雷网络技术有限公司) C:\Users\NAME\AppData\Local\Temp\xldl.dll HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "311188" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "6863888" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "6124511" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "5636317" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "2341366" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "PERLQHWDRYAXEK6" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "Z5ZWYAOGZ6WPG69" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "51O4ME53C0KY9FD" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "C48KY7B0JWASONS" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "8579593" HKU\S-1-5-21-4065789500-1150660228-1179629913-1001\...\StartupApproved\Run: => "40KB13Y7VNA9DVQ" Task: {1BCF211E-185D-4462-953C-AE1F1B9A1C2A} - System32\Tasks\HwmnrJAOrHv => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\HwmnrJAOrHv\HwmnrJAOrHv.dll",HwmnrJAOrHv <==== ATTENTION Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Сделайте лог МВАМ 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 14 апреля, 2019 Автор Share Опубликовано 14 апреля, 2019 6970.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 апреля, 2019 Share Опубликовано 14 апреля, 2019 Поместите в карантин МВАМ все найденное 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 15 апреля, 2019 Автор Share Опубликовано 15 апреля, 2019 вроде помогло.спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Удалите МВАМ. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Antareska 0 Опубликовано 21 апреля, 2019 Автор Share Опубликовано 21 апреля, 2019 Новый текстовый документ.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.