Перейти к содержанию

Невидимая папка в C:\Windows\Fonts\Mysql


GreyCats

Рекомендуемые сообщения

Здравствуйте! При включении компьютера произвольно открывается основной браузер (в моём случае Opera) с новой рандомной вкладкой, от безобидной рекламы до сайтов-вымогателей и порно. Не уверен, есть ли тут прямая связь, но при работе с браузером иногда выключается монитор и зависает компьютер. Хотя при работе с видеоредактором или в играх такой проблемы нет. Сканирование на вирусы выявило несколько нежелательных элементов, от одного из которых - mysql в папке fonts - так просто не избавиться. Прикрепляю логи (не знаю, насколько это критично, но я ошибся и второй раз запустил тот же Avbr после первой проверки, так что прикрепил оба)

AV_block_remove_2022.12.02-18.04.log CollectionLog-2022.12.02-18.23.zip AV_block_remove_2022.12.02-18.12.log

Изменено пользователем GreyCats
Не дописал
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, GreyCats сказал:

Думал подождать дней 90, но это слишком много)

90 дней ждать не пришлось бы. Это файлы и папки, созданные за последние 90 дней :)


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3077774180-671500990-4180410380-1001\...\Run: [Grey] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
FirewallRules: [{D5D7787B-D6BE-42EE-8115-9EC45C8D56AA}] => (Allow) F:\SteamLibrary\steamapps\common\Dead Cells\deadcells.exe => Нет файла
FirewallRules: [{07188BFA-C3B0-4E85-ACFB-4F5B9C0F928F}] => (Allow) F:\SteamLibrary\steamapps\common\Dead Cells\deadcells.exe => Нет файла
FirewallRules: [{1B2B6897-1EF4-44CF-96BB-ED74BB24B9A6}] => (Allow) F:\SteamLibrary\steamapps\common\Dead Cells\deadcells_gl.exe => Нет файла
FirewallRules: [{38454A27-2828-4F21-9AD9-4954254572D9}] => (Allow) F:\SteamLibrary\steamapps\common\Dead Cells\deadcells_gl.exe => Нет файла
FirewallRules: [{70C28F5D-625C-4146-9384-2885990823A4}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => Нет файла
FirewallRules: [{03171FF0-733F-4BC3-B758-FB67021B4B2A}] => (Allow) F:\SteamLibrary\steamapps\common\Disco Elysium\disco.exe => Нет файла
FirewallRules: [{98A617CE-080E-4C90-8212-59B783869C5C}] => (Allow) F:\SteamLibrary\steamapps\common\Disco Elysium\disco.exe => Нет файла
FirewallRules: [{EF52342C-940C-4D0B-8AE8-F306A851ECBA}] => (Allow) F:\SteamLibrary\steamapps\common\Resident Evil 4\Bin32\bio4.exe => Нет файла
FirewallRules: [{5DD90FCE-B07C-48B1-B80B-58A5C56AC920}] => (Allow) F:\SteamLibrary\steamapps\common\Resident Evil 4\Bin32\bio4.exe => Нет файла
FirewallRules: [TCP Query User{500F54CA-4183-4BAB-9F19-258EC4458A3E}C:\users\grey\appdata\local\discord\app-1.0.9003\discord.exe] => (Block) C:\users\grey\appdata\local\discord\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{FB492950-B346-4C71-A410-299DA294363F}C:\users\grey\appdata\local\discord\app-1.0.9003\discord.exe] => (Block) C:\users\grey\appdata\local\discord\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{5D387480-05EA-4513-A17A-8867F0F0EE80}] => (Allow) F:\SteamLibrary\steamapps\common\Rusty Lake Hotel\RustyLakeHotel.exe => Нет файла
FirewallRules: [{43309E3D-E5FB-4C67-9931-80FC594F4656}] => (Allow) F:\SteamLibrary\steamapps\common\Rusty Lake Hotel\RustyLakeHotel.exe => Нет файла
FirewallRules: [{7048248B-FFB3-435E-B06B-F7F8A5D6C86E}] => (Allow) F:\SteamLibrary\steamapps\common\super house of dead ninjas\SHODN.exe => Нет файла
FirewallRules: [{DFCBDF28-F2D7-4E96-9673-611963D90D1A}] => (Allow) F:\SteamLibrary\steamapps\common\super house of dead ninjas\SHODN.exe => Нет файла
FirewallRules: [{76DF7B55-3DC1-49BF-BE9A-7B79F799F558}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{5BF9310F-F85C-4A77-B97E-6EBA77D7D4D2}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{9AED902B-B917-47C5-B9D0-6B6DBEA604F9}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{789D07AB-D1CB-4A4B-B6DA-DA7F2241306B}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{822BE84D-A32B-4A45-B488-404B6BC08BF8}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{C2A25DF7-A20C-46E7-9901-A444A65A7753}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{607CED4C-1AB6-4587-80ED-DDBA2812AED2}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{C9F8CB59-AC3B-41E6-89E9-F46BAE4A07E8}] => (Allow) F:\SteamLibrary\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{44399163-7043-4FFD-AB71-D67EA9FD3A57}] => (Allow) F:\SteamLibrary\steamapps\common\ChildrenOfMorta\ChildrenOfMorta.exe => Нет файла
FirewallRules: [{B7E3A77A-EBD3-4262-9D4B-5AE33E6B9A9E}] => (Allow) F:\SteamLibrary\steamapps\common\ChildrenOfMorta\ChildrenOfMorta.exe => Нет файла
FirewallRules: [{A98E3621-3ED3-4CFD-B0B0-4DC24CF6E8CE}] => (Allow) F:\SteamLibrary\steamapps\common\Quake\rerelease\Quake_x64_steam.exe => Нет файла
FirewallRules: [{635BA448-F7A3-4A5E-98A9-FAC3DDE3ADB0}] => (Allow) F:\SteamLibrary\steamapps\common\Quake\rerelease\Quake_x64_steam.exe => Нет файла
FirewallRules: [{AAF9CB70-92C0-495F-93AC-36B2EE4CA2BF}] => (Allow) F:\SteamLibrary\steamapps\common\If On A Winter's Night Four Travelers\ioawn4t.exe => Нет файла
FirewallRules: [{23A13383-EEA9-4D04-B36C-A6D47EC76935}] => (Allow) F:\SteamLibrary\steamapps\common\If On A Winter's Night Four Travelers\ioawn4t.exe => Нет файла
FirewallRules: [{DDF854A6-CD83-4784-B5C4-91EE9769A9E6}] => (Allow) F:\SteamLibrary\steamapps\common\If On A Winter's Night Four Travelers\winsetup.exe => Нет файла
FirewallRules: [{F3320D30-5467-4DCD-AC57-B93114B237AA}] => (Allow) F:\SteamLibrary\steamapps\common\If On A Winter's Night Four Travelers\winsetup.exe => Нет файла
FirewallRules: [TCP Query User{14A31F48-4CBA-4928-8015-4392FF9A5E3D}D:\games\dead space\dead space.exe] => (Allow) D:\games\dead space\dead space.exe => Нет файла
FirewallRules: [UDP Query User{81D985A3-5B95-4F7F-8EC7-BA35DDC76E67}D:\games\dead space\dead space.exe] => (Allow) D:\games\dead space\dead space.exe => Нет файла
FirewallRules: [TCP Query User{58FEB58C-362A-4E84-9837-6FA3F6692777}F:\steamlibrary\steamapps\common\cry of fear\cof.exe] => (Block) F:\steamlibrary\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [UDP Query User{8EA8A9C1-0ACE-4752-BFD4-1BEDE9D6023A}F:\steamlibrary\steamapps\common\cry of fear\cof.exe] => (Block) F:\steamlibrary\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [TCP Query User{1BEB22AC-3A4A-42BB-B939-54DCC40666E0}D:\games\dead space\dead space.exe] => (Block) D:\games\dead space\dead space.exe => Нет файла
FirewallRules: [UDP Query User{F820DD5B-8AAD-4100-9478-9F90A506A31B}D:\games\dead space\dead space.exe] => (Block) D:\games\dead space\dead space.exe => Нет файла
FirewallRules: [{3D391A00-A4EE-47F4-BB10-DFA6D3B53948}] => (Allow) F:\SteamLibrary\steamapps\common\Dagon\Dagon.exe => Нет файла
FirewallRules: [{90DA20D9-CDB6-4FB2-ADEC-88B6586CA031}] => (Allow) F:\SteamLibrary\steamapps\common\Dagon\Dagon.exe => Нет файла
FirewallRules: [TCP Query User{42BAE9E6-E55F-4FB3-9141-E28234E7E1D5}D:\games\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Block) D:\games\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [UDP Query User{A2446825-A83C-4AC5-B420-78E39793E2D2}D:\games\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Block) D:\games\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [{2A4E4208-1A78-46FF-9443-F92AE5EC755D}] => (Allow) C:\Users\Grey\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{9241F7A3-E9F7-4640-A517-C5B724D783AE}] => (Allow) C:\Users\Grey\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{AB57024D-025D-45C4-86B4-0E0D44AB0AB6}] => (Allow) C:\Users\Grey\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{B75BC5D7-39E1-462A-B6CD-1B0A476EE7A5}] => (Allow) C:\Users\Grey\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{6AF8D165-1E7C-4BF4-A3A5-EE66F7134B3D}] => (Allow) D:\Programs\Steam\steamapps\common\Grim Dawn\x64\Grim Dawn.exe => Нет файла
FirewallRules: [{2CEE1662-4ACA-48C0-BA12-CDAA760F1A09}] => (Allow) D:\Programs\Steam\steamapps\common\Grim Dawn\x64\Grim Dawn.exe => Нет файла
C:\Windows\Fonts\Mysql
AlternateShell: 
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.

 
Ссылка на комментарий
Поделиться на другие сайты

35 минут назад, thyrex сказал:

Это файлы и папки, созданные за последние 90 дней :)

Я это понял, посему так и написал.. Мало ли какие личные файлы я за эти последние 90 дней получал, может стоило три месяца держать компьютер на карантине) 

 

Anyway, инструкции выше выполнил. После перезагрузки, во всяком случае, симптомы пропали - браузер сам не открылся, "мутных" вкладок не создал.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sputnikk
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • gennadij-zaripov
      От gennadij-zaripov
      Пробовал обновить через Microsoft Store. Когда перестали работать-не помню. Windows 11 Pro 23H2.
       


    • tianddu
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • ilia_.7
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
    • SEcrash63
      От SEcrash63
      Доброго всем времени суток.
      Может быть кто сможет помочь, с такой проблемой.
      Имеется ПК с установленной W7 x64 (без SP1, установить не могу обновление, ругается на поврежденное хранилище)
       
      Случилась проблема что перестали работать многие сетевые службы и другие, ПК перестал выходить в интернет, получать Ip и много чего.
      Частично проблемы удалось исправить, но привести полностью в рабочее состояние так и не удалось. Журнал событий ругается как минимум на две ошибки,  одна из них проблема со службой
      "Служба "Служба политики диагностики" завершена из-за ошибки. Не удается найти указанный файл." 
      И "Не удается найти описание для идентификатора события 0 из источника .NET Runtime. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере. .NET Runtime version : 2.0.50727.8806 - Отладчик не найден.Не указан зарегистрированный отладчик JIT"
       
      Делал сканирование системы SFC \SCANNOW говорит проблемы есть, но починить не могу.
      Делал DISM /Online /Cleanup-Image /ScanHealth - по его логам с доноров пособирал большую часть файлов, часть выкорчевывал из пакетов обновлений, но не все удалось найти. 
      Антивирус был все время Kaspersky, после появления проблем временно все удалил. Сейчас никакого антивируса нет.
      Логи и того и другого прилагаю.
      Подскажите может кто сможет поделится файлами из лога CheckSUR.
      Или может быть подскажете другие пути решения проблемы? (Систему с нуля бы поставил, было бы проще, но в данном случае это не предоставляется возможным, очень важно сохранить рабой вариант текущей)
       
      Заранее спасибо.
       
      CBS.log CheckSUR7.log sfcdetails.txt SFCFix.txt
×
×
  • Создать...