watching_the_waste 0 Опубликовано 11 июня, 2019 Share Опубликовано 11 июня, 2019 (изменено) При скачивании программы подловил больше 60 угроз, большую часть смог обезвредить и удалить через AdAware и DrWeb CureIT, но Winmon не лечится. CollectionLog-2019.06.12-00.57.zip Изменено 11 июня, 2019 пользователем watching_the_waste Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Логи сделаны устаревшей версией Autologger. Скачайте нужную версию по ссылке в правилах и предоставьте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 CollectionLog-2019.06.12-17.54.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\QWszBGwJaeOCwsfDwHR\NDwFGVx.dll',''); DelBHO('{C31FFFC8-E607-4B43-ABE6-B98F6F84AD0F}'); QuarantineFile('C:\Program Files (x86)\cqyivUztEIE\kOI2QLWvo.dll',''); QuarantineFile('C:\Program Files (x86)\cqyivUztEIE\tIzjVys.dll',''); QuarantineFile('C:\Program Files\FGYGZCWAJM\FGYGZCWAJ.exe',''); QuarantineFile('C:\Users\tlgf\AppData\Roaming\gerpril\python\pythonw.exe',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); DeleteService('Tolnix'); QuarantineFile('C:\ProgramData\Tolnix\Tolnix.exe',''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\tlgf\appdata\local\app\svchost.exe'); QuarantineFile('c:\users\tlgf\appdata\local\app\svchost.exe',''); TerminateProcessByName('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\windows\rss\csrss.exe',''); QuarantineFile('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe',''); DeleteFile('c:\users\tlgf\appdata\local\temp\csrss\cloudnet.exe','32'); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\tlgf\appdata\local\app\svchost.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\ProgramData\Tolnix\Tolnix.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PfbMY7ISuV.exe','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','App','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gerpril','x32'); DeleteFile('C:\Users\tlgf\AppData\Roaming\gerpril\python\pythonw.exe','32'); DeleteFile('C:\Program Files\FGYGZCWAJM\FGYGZCWAJ.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WATGB5IKPHEK621','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LongSun','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); DeleteFile('C:\ProgramData\Tolnix\Tamp-Eco.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PfbMY7ISuV.exe','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','App','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gerpril','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WATGB5IKPHEK621','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LongSun','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteFile('C:\ProgramData\Tolnix\Greentom.dll','64'); DeleteFile('C:\Program Files (x86)\cqyivUztEIE\tIzjVys.dll','64'); DeleteFile('C:\Program Files (x86)\cqyivUztEIE\kOI2QLWvo.dll','32'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('gerpril'); DeleteSchedulerTask('gerpril2'); DeleteSchedulerTask('iGCYEUMXJwKesSj2'); DeleteSchedulerTask('LIUFzeWTazYslRQqD2'); DeleteFile('C:\Program Files (x86)\QWszBGwJaeOCwsfDwHR\NDwFGVx.dll','64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteSchedulerTask('sSQkKOKYWDiwSfhyvlN2'); DeleteSchedulerTask('vCITHywpmVbAM2'); DeleteSchedulerTask('wVzoSdTGfzmTXt'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 Файл сохранён как 190612_154112_quarantine_5d011d18b7c21.zipРазмер файла 6381523MD5 4939ac159ae0ddfc31f31beedb46e48c CollectionLog-2019.06.12-18.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, SigCheckExt и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 Desktop.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION AppInit_DLLs: C:\ProgramData\Tolnix\Greentom.dll => No File AppInit_DLLs-x32: C:\ProgramData\Tolnix\Tamp-Eco.dll => No File GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION C:\Users\tlgf\AppData\Local\Google\Chrome\User Data\Default\Extensions\cphpchblffbaigdopkfjjfmindinclpe C:\Users\tlgf\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpkbpmniionhpjhgicbmknjngmldlijg OPR Extension: (Adblocker for Youtube™) - C:\Users\tlgf\AppData\Roaming\Opera Software\Opera Stable\Extensions\odhlaaikkffekejidbfpjmhkclpoaffn [2019-06-11] 2019-06-12 03:02 - 2019-06-12 04:08 - 000000000 ____D C:\Program Files\Z8E6WOBKXL 2019-06-12 03:02 - 2019-06-12 03:20 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\lqdqep5ldzv 2019-06-12 02:24 - 2019-06-12 02:24 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\EpicNet Inc 2019-06-11 21:34 - 2019-06-11 21:40 - 000000000 ____D C:\Users\tlgf\AppData\Local\cache 2019-06-11 21:29 - 2019-06-11 22:24 - 000000544 _____ C:\Users\Все пользователи\appdata.dat 2019-06-11 21:29 - 2019-06-11 22:24 - 000000544 _____ C:\ProgramData\appdata.dat 2019-06-11 21:25 - 2019-06-11 21:25 - 000000000 ____D C:\Users\tlgf\AppData\LocalLow\TBMWewOZhQIsp 2019-06-11 21:21 - 2019-04-18 19:18 - 000084480 _____ C:\Users\tlgf\AppData\Roaming\task.dll 2019-06-11 21:20 - 2019-06-12 18:24 - 000000000 ___HD C:\Windows\rss 2019-06-11 21:20 - 2019-06-11 23:14 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu 2019-06-11 21:20 - 2019-06-11 23:14 - 000000000 ____D C:\ProgramData\WindowsMenu 2019-06-11 21:17 - 2019-06-11 21:17 - 001895384 _____ C:\Users\tlgf\AppData\Local\Ecodubbam.bin 2019-06-11 21:16 - 2019-06-12 18:22 - 000000000 ____D C:\Users\tlgf\AppData\Local\App 2019-06-11 21:16 - 2019-06-11 23:15 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\r4oic5muvjv 2019-06-11 21:16 - 2019-06-11 23:14 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\zrfygndd5o2 2019-06-11 21:16 - 2019-06-11 21:16 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\Python 2019-06-11 21:15 - 2019-06-11 21:15 - 007942656 _____ C:\Users\tlgf\AppData\Local\agent.dat 2019-06-11 21:15 - 2019-06-11 21:15 - 002039066 _____ C:\Users\tlgf\AppData\Local\Greensing.tst 2019-06-11 21:15 - 2019-06-11 21:15 - 000126464 _____ C:\Users\tlgf\AppData\Local\noah.dat 2019-06-11 21:15 - 2019-06-11 21:15 - 000126464 _____ C:\Users\tlgf\AppData\Local\lobby.dat 2019-06-11 21:15 - 2019-06-11 21:15 - 000072787 _____ C:\Users\tlgf\AppData\Local\Stan-Sing.tst 2019-06-11 21:15 - 2019-06-11 21:15 - 000070992 _____ C:\Users\tlgf\AppData\Local\Config.xml 2019-06-11 21:15 - 2019-06-11 21:15 - 000054272 _____ C:\Users\tlgf\AppData\Local\ApplicationHosting.dat 2019-06-11 21:15 - 2019-06-11 21:15 - 000005568 _____ C:\Users\tlgf\AppData\Local\md.xml 2019-06-11 21:15 - 2019-06-11 21:15 - 000000000 ____D C:\Users\tlgf\AppData\Roaming\WinNc FirewallRules: [{44EA9491-2D91-45B5-A40F-59E7ABC0A629}] => (Allow) C:\Users\tlgf\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{E18881A6-6428-45D8-8A4B-3320131119BE}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{39F6951E-C7EE-4B11-8647-298548543396}] => (Allow) C:\Users\tlgf\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{A5AC79CC-717A-4A66-8B40-67154E2F96F3}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{6790D7FD-0F7E-475A-884B-D6570EE39173}] => (Allow) C:\Users\tlgf\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{3399696C-99AF-4D6B-AFD4-DACE0191AE97}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{F8D33E83-8AA6-47A7-B52E-AF2F98DEA236}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{9AC52D8F-F7F2-46A6-92C6-DA3CA00954B4}] => (Allow) C:\Users\tlgf\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] File: C:\Users\tlgf\AppData\Local\Stan-Sing.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 C:\Users\tlgf\AppData\Local\Stan-Sing.exeC:\Users\tlgf\AppData\Local\Greensing.exe удалите вручную. Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 Удалил. Проверил DrWeb и AdwCleaner.Троян не нашелся, остались только другие - Safefinder, Epicnet, cloudnet и в suggestqueries.google.com. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Удалили их? Цитата Ссылка на сообщение Поделиться на другие сайты
watching_the_waste 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 Все. Очистил, удалил, ничего нигде нет. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.