Fraer8 0 Опубликовано 12 июля, 2019 Share Опубликовано 12 июля, 2019 http://www.spyware-ru.com/udalit-thegoodcaster-com-reklamu-instruktsiya/ все сделал, удалил часть, но не вседокторвебом чистил, но все равно он сидит CollectionLog-2019.07.12-18.35.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 июля, 2019 Share Опубликовано 12 июля, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll',''); QuarantineFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll',''); QuarantineFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf',''); QuarantineFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll',''); DelBHO('{7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E}'); QuarantineFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe',''); SetServiceStart('8e6781e3df173c0b', 4); DeleteService('8e6781e3df173c0b'); QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll',''); QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll',''); TerminateProcessByName('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe'); QuarantineFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe',''); DeleteFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','32'); DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','32'); DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','32'); DeleteFile('C:\Windows\system32\drivers\8e6781e3df173c0b.sys','64'); DeleteFile('C:\Windows\system32\drivers\27A9EC1E.sys','64'); DeleteFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x32'); DeleteSchedulerTask('AWWcazHJnUfLPA'); DeleteSchedulerTask('JSpPUlYEOjGQEpF2'); DeleteFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','64'); DeleteFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','64'); DeleteSchedulerTask('mrAArNosEtAJT2'); DeleteSchedulerTask('raSRPAMuIMRBbwMvC2'); DeleteSchedulerTask('txgYfgWClJeJBSoaCDR2'); DeleteFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','64'); DeleteFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
Fraer8 0 Опубликовано 13 июля, 2019 Автор Share Опубликовано 13 июля, 2019 avz не отвечаетреестр: REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroExt.exe\]"DisableExceptionChainValidation"=dword:00000000"MitigationOptions"=hex( :00,00,00,00,3D,22,4C,69[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32.exe\]"DisableExceptionChainValidation"=dword:00000000"MitigationOptions"=hex( :00,00,00,00,3D,22,4C,69[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32Info.exe\]"DisableExceptionChainValidation"=dword:00000000"MitigationOptions"=hex( :00,00,00,00,3D,22,4C,69[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSharingHookController.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe\]"MaxLoaderThreads"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMigrate.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection64.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DATABASECOMPARE.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dllhost.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\]"Apitrap.dll"=dword:00000001"ASSTE.dll"=dword:00000001"AVSTE.dll"=dword:00000001"Cleanup.dll"=dword:00000001"divx.dll"=dword:00000001"divxdec.ax"=dword:00000001"DJSMAR00.dll"=dword:00000001"DRMINST.dll"=dword:00000001"eMigrationmmc.dll"=dword:00000001"EncryptPatchVer.dll"=dword:00000001"eProcedureMMC.dll"=dword:00000001"eQueryMMC.dll"=dword:00000001"fullsoft.dll"=dword:00000001"ISSTE.dll"=dword:00000001"javai.dll"=dword:00000001"jvm.dll"=dword:00000001"jvm_g.dll"=dword:00000001"main123w.dll"=dword:00000001"msci_uno.dll"=dword:00000001"mscoree.dll"=dword:00000001"mscorsvr.dll"=dword:00000001"mscorwks.dll"=dword:00000001"msjava.dll"=dword:00000001"mso.dll"=dword:00000001"NAVOPTRF.dll"=dword:00000001"NPMLIC.dll"=dword:00000001"NSWSTE.dll"=dword:00000001"PMSTE.dll"=dword:00000001"ppw32hlp.dll"=dword:00000001"symlcnet.dll"=dword:00000001"TFDTCTT8.dll"=dword:00000001"udtapi.dll"=dword:00000001"ums.dll"=dword:00000001"vb40032.dll"=dword:00000001"vbe6.dll"=dword:00000001"Vegas60k.dll"=dword:00000001"xlmlEN.dll"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drvinst.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ehexthost32.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ExtExport.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FIRSTRUN.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FLTLDR.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ie4uinit.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEContentService.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieinstal.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ielowutil.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieUnatt.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\]"DisableExceptionChainValidation"=dword:00000000"DisableUserModeCallbackFilter"=dword:00000001"MitigationOptions"=hex( :00,00,00,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LICLUA.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lync.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdge.exe\]"Debugger"="/"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MiracastView.exe\]"MitigationOptions"=hex( :00,00,01,00,3D,22,69,6E[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MRT.exe\]"CFGOptions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvw.exe\]"MitigationOptions"=hex( :00,00,01,00,3D,22,54,53[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfeedssync.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,54,53[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe\]"MitigationOptions"=hex( :00,00,00,00,3D,22,54,53[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe\]"CFGOptions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoev.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOSQM.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosrec.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msotd.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOUC.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAMECONTROLSERVER.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngen.exe\]"MitigationOptions"=hex( :00,00,01,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngentask.exe\]"MitigationOptions"=hex( :00,00,01,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OARPMANY.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OcPubMgr.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ODeploy.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ofc.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLicenseHeartbeat.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSPPREARM.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PDFREFLOW.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PresentationHost.exe\]"MitigationOptions"=hex( :11,11,00,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintDialog.exe\]"MitigationOptions"=hex( :00,00,01,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintIsolationHost.exe\]"MitigationOptions"=hex( :00,20,00,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protocolhandler.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runtimebroker.exe\]"MitigationOptions"=hex( :00,00,01,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotocolhost.exe\]"DisableExceptionChainValidation"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartTagInstall.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\splwow64.exe\]"MitigationOptions"=hex( :00,20,00,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe\]"DisableExceptionChainValidation"=dword:00000003"MitigationOptions"=hex( :00,20,00,00,22,33,3A,31[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPREADSHEETCOMPARE.EXE\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe\]"MinimumStackCommitInBytes"=dword:00008000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SystemSettings.exe\]"MitigationOptions"=hex( :00,00,01,00,69,6D,75,6D[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UcMapi.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv.exe\]"DisableExceptionChainValidation"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe\]"DisableExceptionChainValidation"=dword:00000003 CollectionLog-2019.07.13-20.01.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июля, 2019 Share Опубликовано 13 июля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Fraer8 0 Опубликовано 13 июля, 2019 Автор Share Опубликовано 13 июля, 2019 есть Downloads.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июля, 2019 Share Опубликовано 13 июля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tukbi1U.dll [2019-07-04] () [File not signed] C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffpfiaecfobeadhikddakkmaapliokib OPR Extension: (Adblocker for Youtube™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion [2019-07-04] 2019-07-04 18:37 - 2019-07-12 18:32 - 000000000 ____D C:\Users\User\AppData\LocalLow\fuXIbnpPYAACF 2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB 2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB 2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR 2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU 2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC 2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2 2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE 2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn 2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\ruhpuzwb4zo 2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\gg545ywk4zm 2019-07-04 18:30 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\TDFCD3VIQJ 2019-07-04 18:30 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\8SFSUZX7GA 2019-07-04 18:10 - 2019-07-04 21:03 - 000000000 ____D C:\Program Files\NE3F2Z7THM 2019-07-04 18:10 - 2019-07-04 20:59 - 000000000 ____D C:\Program Files\KYVCAP7UNZ 2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\w4zzevxomme 2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\eaex1obonwj 2019-07-04 13:58 - 2019-07-04 20:57 - 000000000 ____D C:\Program Files\H5W27X5SO9 2019-07-04 13:58 - 2019-07-04 20:54 - 000000000 ____D C:\Program Files\05LL5ZBM0O 2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\q0mjoexza5w 2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\0roefyklcxk 2019-07-04 13:47 - 2019-07-04 21:05 - 000000000 ____D C:\Program Files\SWBG0SF0ER 2019-07-04 13:47 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\GZBK2U4QVS 2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\pcag5vvyq4r 2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\mrg0ui1tbdv 2019-07-04 13:32 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\WKPEY6VC1N 2019-07-04 13:32 - 2019-07-04 20:53 - 000000000 ____D C:\Program Files\99VT661D0J 2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\rwu5vprzljt 2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\ggnk1d3guav 2019-07-04 13:12 - 2019-07-04 21:00 - 000000000 ____D C:\Program Files\MNW9WG0F00 2019-07-04 13:12 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\KN3I4PU3H7 2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\nvgncouigc3 2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\kdozf5naitj 2019-07-04 13:10 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\L9U635J7K5 2019-07-04 13:10 - 2019-07-04 13:10 - 000000000 ____D C:\Users\User\AppData\Roaming\j3j4krsa4j5 2019-07-04 13:06 - 2019-07-04 20:52 - 000000000 ____D C:\Program Files\BE4W8WBX7N 2019-07-04 13:06 - 2019-07-04 13:06 - 000000000 ____D C:\Users\User\AppData\Roaming\z1uyvgnnapc HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "1981883" HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "2369147" Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Fraer8 0 Опубликовано 13 июля, 2019 Автор Share Опубликовано 13 июля, 2019 спасибо) есть Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июля, 2019 Share Опубликовано 13 июля, 2019 Проблема решена? Ссылка на сообщение Поделиться на другие сайты
Fraer8 0 Опубликовано 13 июля, 2019 Автор Share Опубликовано 13 июля, 2019 надеюсь да))спасибо Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июля, 2019 Share Опубликовано 13 июля, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Fraer8 0 Опубликовано 14 июля, 2019 Автор Share Опубликовано 14 июля, 2019 Есть SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2019 Share Опубликовано 14 июля, 2019 ------------------------------- [ Windows ] -------------------------------Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции^ Internet Explorer 11.51.14393.0 Внимание! Скачать обновления Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления K-Lite Mega Codec Pack 10.5.5 v.10.5.5 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления --------------------------- [ AppleProduction ] --------------------------- QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 14 ActiveX & Plugin 64-bit v.14.0.0.125 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ Adobe Shockwave Player + Authorware Web Player v.v12.1.2.152 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. Adobe Reader XI (11.0.07) - Russian v.11.0.07 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. выполните рекомендованное, и на этом закончим. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 июля, 2019 Share Опубликовано 17 июля, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения