Лидеры

Похоже на дефект клавиатуры. Попробуйте подключить заведомо исправную.

Был такой вирус Virus.Win32.Induc.a. Распространялся через ничего не подозревающих разработчиков ПО. Он заражал Delphi приложения на этапе компиляции. Некоторые из версий популярного, в свое время мессенджера QIP были заражены этим вирусом. Это так к слову, к вашему случаю не относится.

Изменения в файл hosts сами вносили? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Этот антидрон - наша собственная разработка на основе машинного обучения, которая использует нейронные сети для анализа данных с различных сенсоров. Вот такая весьма умная штуковина способна самостоятельно распознавать неопознанные летающие объекты беспилотные летательные аппараты (в народе - просто дроны) и сообщать об их приближении к обозначенной зоне. Кстати, получилась не только умная, но и красивая железка! Полюбуйтесь -> Но, и это ещё не всё! Эта симпатичная глазастая штучка "отличается умом и сообразительностью". При помощи камеры и технологий машинного зрения антидрон автоматически сканирует и анализирует пространственное положение подозрительных беспилотников (что занимает меньше 1 секунды, между прочим!), а полученные данные выводит на графический удобный интерфейс – с картой, логами угроз, данными о конкретной модели беспилотника, и ещё многим-многим другим. Изображение с камер передается на сервер. После «переговоров» с дроном система сразу даст знать, был ли полёт разрешён и всё ли в порядке. При потенциальной опасности на аппаратный модуль нейтрализации приходит специальный сигнал, и наша умная железка предложит залётному дрону вернуться восвояси. А если беспилотник не настроен общаться, то придется использовать другие методы «уговоров», но исключительно в рамках правового поля. Так что всё под контролем! Поподробнее про все модули вашего покорного Kaspersky Antidrone и про то, что за что отвечает можно ещё посмотреть вот тут. Я же буду краток и сразу перейду к красивым картинкам: Ага, с красивой девушкой наш дизайнерский аппарат вообще великолепно смотрится! Да и без девушки тоже "огонёк" Всё на этом. Заканчиваем фотосессию. Пора и поработать

Да, можете пройти обучение. Что сейчас с проблемой?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\networkdistribution\svchost.exe'); TerminateProcessByName('C:\Windows\System32\dllhostex.exe'); QuarantineFileF('C:\Windows\NetworkDistribution\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Windows\System32\dllhostex.exe',''); QuarantineFile('c:\windows\networkdistribution\svchost.exe',''); QuarantineFile('C:\Windows\system32\WindowsSSDPService.dll',''); DeleteFile('C:\Windows\system32\WindowsSSDPService.dll','64'); DeleteFile('c:\windows\networkdistribution\svchost.exe','64'); DeleteFile('C:\Windows\System32\dllhostex.exe','32'); DeleteFileMask('C:\Windows\NetworkDistribution\', '*', true); DeleteDirectory('C:\Windows\NetworkDistribution\'); ExecuteSysClean; end. Компьютер перезагрузите вручную. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Ещё раз соберите новый CollectionLog.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteSysClean; end; begin AV_block_remove; end. Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger.

Здравствуйте! Собирать логи и выполнять скрипты нужно из консоли, т.е. непосредственно на компьютере, а не через терминальное соединение. Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: () [File not signed] C:\Windows\mssecsvc.exe (Microsoft Corporation) [File not signed] C:\Windows\System32\dllhostex.exe HKLM-x32\...\RunOnce: [360safeuninst_e9048aaf6e42a1cdca7745131e8a707c] => C:\Users\836D~1\AppData\Local\Temp\2\e9048aaf6e42a1cdca7745131e8a707c_remove360.bat [662 2020-10-29] () [File not signed] <==== ATTENTION R2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe [3723264 2020-10-29] () [File not signed] U4 QHActiveDefense; "D:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X] R3 360netmon; system32\DRIVERS\360netmon.sys [X] 2020-10-29 12:55 - 2020-10-29 12:55 - 000000000 __SHD C:\ProgramData\360Quarant 2020-10-29 12:31 - 2020-10-29 12:31 - 003723264 ____S C:\Windows\mssecsvc.exe 2020-10-29 12:22 - 2020-10-29 12:22 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DrvMgr 2020-10-29 11:57 - 2020-10-29 11:57 - 000000000 ____D C:\Windows\Tasks\360Disabled 2020-10-29 11:21 - 2020-10-29 12:56 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DesktopLite 2020-10-30 08:05 - 2020-06-30 16:11 - 011435008 _____ C:\ProgramData\temp5.exe 2020-10-30 08:01 - 2017-11-27 07:51 - 003514368 ____S C:\Windows\tasksche.exe 2020-10-29 11:11 - 2020-06-29 14:56 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\Windows 2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RunDLL 2020-10-28 19:12 - 2020-06-29 14:56 - 000000000 __SHD C:\KVRT_Data 2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\kz.exe 2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass.exe 2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass2.exe 2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\olly.exe 2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\script.exe 2020-06-30 16:11 - 2020-10-30 08:05 - 011435008 _____ () C:\ProgramData\temp5.exe FCheck: C:\Windows\boy.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder) FCheck: C:\Windows\java.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder) FCheck: C:\Windows\svchost.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder) FirewallRules: [{31BF29CF-3948-4BCA-B003-DAA131D66EE7}] => (Allow) LPort=1521 FirewallRules: [{64018D1A-2427-41DA-948F-982322D9804B}] => (Allow) LPort=3389 FirewallRules: [{CD19D121-4180-49A1-A987-BB387E97195C}] => (Block) LPort=445 FirewallRules: [{2BBDA3B0-5232-4162-98E1-5B5E425A45E7}] => (Block) LPort=139 FirewallRules: [{9BEFC500-79DF-4AA3-9AC3-AA70FDD08E57}] => (Block) LPort=445 FirewallRules: [{3FD217BD-932A-40FB-8931-F624DA2E86DC}] => (Block) LPort=139 FirewallRules: [{84A53A09-5388-4617-9237-1B60A1F56AD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] FirewallRules: [{D0E97455-4CAB-4CC4-AAA0-D18EEE45863C}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{A55C7701-C890-4224-BB37-E020718216D7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{7A30A2DB-436C-413A-8FBF-EC287D757B0B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] FirewallRules: [{5AF70547-29BE-4ECE-A97F-8336DEA29F39}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{9EFC1741-FD9F-4424-BEBA-98727CE83036}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{A6191616-E95E-4924-AF46-83BEB46EA485}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File FirewallRules: [{1B78B73B-9ADC-470F-99A6-1BF55B036F07}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File FirewallRules: [{7139999C-1204-45DE-86F4-DB74251D7640}] => (Allow) C:\ProgramData\rundll\system.exe => No File FirewallRules: [{3E1953AB-ABDA-4391-8A2F-2D6D55106109}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File FirewallRules: [{5A65C1A2-0BB2-42E8-93E5-3DF0E56E7570}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe FirewallRules: [{A9900709-E7F1-4AC6-A5EC-998BB2EF5223}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe FirewallRules: [{0538DA13-7BD3-491D-BE83-B6C73B4D6D1D}] => (Allow) LPort=9494 FirewallRules: [{7A16AB6C-0681-467B-BC72-3433B11FF002}] => (Allow) LPort=9393 FirewallRules: [{FD846D60-0313-446C-96D8-6901121256CB}] => (Allow) LPort=9494 FirewallRules: [{0FBDDFA7-8B9B-4927-AAAE-F14C045D9777}] => (Allow) LPort=9393 FirewallRules: [{5A08977D-18E6-4C4C-B1D7-46A73C51DD15}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File FirewallRules: [{5F4347F3-F94C-4BAE-BB94-164AFA0D09EE}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File Zip: c:\FRST\Quarantine\ End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Соберите новые лолги FRST.

д1а,Ґ спасибо.Ґ закрывайтеҐ тему

@ska79 статья на русском.

Здравствуйте! Для начала выполните Порядок оформления запроса о помощи