Перейти к содержанию
Правила раздела

Невозможно удалить вирус(возможно стиллер)

Tybloko

Автор Tybloko
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Tybloko Новичок

Tybloko

Опубликовано
Опубликовано

Осенью произошла ситуация, что на компьютер попал стиллер ворующий аккаунты, или куки. Переустановил виндоус, вроде бы всё прошло. Недавно пришло уведомления от нескольких сайтов, с примерно таким содержанием: "Мы обнаружили, что на ваш аккаунт заходил злоумышленник через краденные Cookie. Когда мы это обнаружили, мы заблокировали операции с балансом на вашем аккаунте, чтобы никто не смог получить доступ к вашим средствам.".
Решил проверить на всякий случай с помощью cureit-а, нашло пару угроз, которые он обезвредил, но осталось "CHROMIUM:PAGE.MALWARE.URL". Лечение не помогает.

Толи сайты с большим запозданием отправили эту информацию, то ли действительно вирус. Пока-что ничего не было украдено с пк, проблем не было заметно. 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Нужные логи прикрепите к следующему сообщению в этой теме.

Также прикрепите лог CureIt.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Видны следы бывшего заражения майнером.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты
Tybloko Новичок

Tybloko

Опубликовано
  • Автор
Опубликовано

После работы AV block remover проводник перестал открываться. 
Открываю папку любую-рабочий стол перезапускается, проводник закрывается. Хром, стим запускаются.
Отчёт смог загрузить сюда через "выберите файл".
 

AV_block_remove_2024.02.08-13.29.log

Диспетчер задач открывается.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\User\AppData\Local\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\User\AppData\Local\', '*.exe', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\', '*.bat', true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

(Или загрузите на облако, а ссылку на скачивание отправьте мне личным сообщением).

 

2. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

3. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup = C:\Users\User\AppData\Local\Temp\1ff8bec27e
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\User\AppData\Local\Temp\1ff8bec27e
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6268.0{F283B2F1-51DF-4FEE-AA50-55EB8B49A58D} - C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe --wake --system --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 (sign: 'Google LLC')
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

 

4. Для очередной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Tybloko Новичок

Tybloko

Опубликовано
  • Автор
Опубликовано (изменено)

При выполении первого скрипта AVZ зависает на перемещение файлов в карантин. Перезагрузки не происходит.
После ручной перезагрузки выполнил второй скрипт, всё прошло успешно.
Папки(проводник) снова стали работать.
Все строчки в HijackThis указанные вами были.
Обнаружены новые проблемы:
1.При ввода пароля клавиши будто залипают. Нажимаю первую букву пароля, она вводится 6 раз, пытаюсь стереть только 5 символов-стерается всё. Это продолжается в районе минут, после всё проходит.
2.При открытии Хрома ни одна вкладка не грузит, необходимо его перезапустить(просто закрыть и открыть)
3.Стала более долгая загрука системы.
4.При запуске ПК появилось множество(примерно 30-40) окон консоли и ошибки. Ошибки по типу:"Не удается найти "C:\User\AppData\Local\PzyKkmlqqoBz4YtRrjAVx6pe.exe".
5.Отвалился второй диск.
 

ClearLNK-2024.02.08_14.23.18.log CollectionLog-2024.02.08-14.36.zip

Изменено пользователем Tybloko
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2aRbyzvJFbPn5IsCs8nWLTwh.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\44V9LGfqyWBpKW4qOWb0aZtl.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4ZB3OOtOYd5mBiUxPQx2osXR.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6lbClrJT1s8NH2U8QCSXybGA.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6qwLQAPxf8MkxpdZlZOItcxO.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A3IgAFDJj3BYQpDe6ueGqXQW.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ap8ErNlE53fwzWIpEJwYTHg2.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bgRFKufWuLVMrM6mEb5NX3kc.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bISVZ3YKE5kmYTLP78cBEWZV.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bRzial1MrRhXxNwlPzDkyUnS.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c3uKCx3LVQYO2qC2fkw35avg.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c5lK02aKFm4K6E39c81oHOpN.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c7wtbsioWt5vizm7gPMEGnZT.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cSogfSf5yBd7U1lxFSChjxwX.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DdRAcFxD0zii8UcDQKIW8q7b.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\di7VZdqw17fw5OPju36vP9RN.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Du4egJOBE5NFxSAo1C90SSUj.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dzV7IWI6hXzRJVjUD0Jk57qi.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eKuwx34XvIriXbgr6nlapFYz.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eU84iJaKoknCaosAgaRAKHQu.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EwaSWjJc7IPWYjsolw3Nui7I.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gyMtlBiI4XWKVG82Y2G4NzHi.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HTiQ5TNbcfxZjPvchs05ZpGF.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i8szdRYN7IFd58mxtxm5borT.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\J4iycgHGwhakyJ0Gpb9KolrO.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kILbfyZJzKEBOAhqwInUtfX7.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LRkrfxZRp6Bx3dUJFQBe85zP.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\luFttv7i2vr8C1q42xjRjCjq.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MbghubsJ7SzUdWnsslJkEC2X.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MsnVczUafQ2U8rxeuErhPW7w.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\N0iuv5PN2i84wrcK1jbMJ3hQ.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ndLMCaCQdq4dKQPyZdkoByVn.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nNVTZLMH8G6XGUHIkwWbtZwd.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NZLPDM7LkBy2HA20l9MDCH0J.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pxTGvtZMCi3IqeR5N9UCjBOr.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QvfFwsLcL6hD3MCaH8HnguNk.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QwGPQsiUrTu1Bm9DdQBDt6dD.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RIMKz7sjyvhlA4bCRIZP8NRW.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RrYBCGjxoBeYTEMQposwPNSs.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SixX6TKmhHqIMqQpEs1SHmj0.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sWgnSMSHvkfrm3Xz4LtYwPYX.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXTs7UaA245uelwBoSCMcgVm.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TkbK9CLgpOzh7yDobTKDbYps.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tldgUv3KiJQd8DDB83Dqwf6S.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VKrCyqA3YxyLmPz15YWbvRcq.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XT9BwA1EALqOY7bBjMaytTr5.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZBUrDSnlddHLfqy0C8xXa28n.bat [2023-10-18] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZXPJ8wWkA74ixfMh1lVi2nxQ.bat [2023-10-18] () [Файл не подписан]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
S2 GoogleUpdaterInternalService123.0.6268.0; "C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe" --system --windows-service --service=update-internal --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X] <==== ВНИМАНИЕ
S2 GoogleUpdaterService123.0.6268.0; "C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe" --system --windows-service --service=update --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X] <==== ВНИМАНИЕ
S3 HWiNFO_187; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_187.SYS [X] <==== ВНИМАНИЕ
C:\Users\User\AppData\Local\XdeMkHlwj9yYIucklkZdu8K1.exe
C:\Users\User\AppData\Local\fdWQPq2DsAJEseu1Knxfyq9W.exe
C:\Users\User\AppData\Local\vtNItJFiaK1eJDyf9prF6GyS.exe
C:\Users\User\AppData\Local\V4zqT6nMCuX2FaGa4QrGTApD.exe
C:\Users\User\AppData\Local\Gm7IaQvi5zQCbMJ9XbfTOwoE.exe
C:\Users\User\AppData\Local\1WuwVyqjotdkd1YE91VTzjMi.exe
C:\Users\User\AppData\Local\RZdHLgefzRVOsWRoo5Lz5G85.exe
C:\Users\User\AppData\Local\QLgYqQEp96iXuiNTgDPCjWeJ.exe
C:\Users\User\AppData\Local\ziw81a3Nb2a8yx6yz4rPINOF.exe
C:\Users\User\AppData\Local\h5VrjqbpgRjgGampGHooWB5q.exe
C:\Users\User\AppData\Local\6DgQo2CElDRTuhwkO9d0SDEW.exe
C:\Users\User\AppData\Local\Km2U4vIhCqQRMiypETa4L4fo.exe
C:\Users\User\AppData\Local\5tzRrRPefaf65Ryeln8VImdp.exe
C:\Users\User\AppData\Local\8gq72g5WDO6KM9qmvJsa9mOA.exe
C:\Users\User\AppData\Local\NIZvZaIUTRFcSAo1EF2S2nTo.exe
C:\Users\User\AppData\Local\cxDiNCODYqRL2lMoOBvUH1yJ.exe
C:\Users\User\AppData\Local\Ydhkhqt55sA7Ek7VVRMW1IFH.exe
C:\Users\User\AppData\Local\sGRbPJ6fLu7547SXiMLK9jVV.exe
C:\Users\User\AppData\Local\x0WEEG1nmvQvYZoNQtOE4lyx.exe
C:\Users\User\AppData\Local\n0GJauZgIwxPi1DAjqgNYJhF.exe
C:\Users\User\AppData\Local\zwV1KYZhxzGzpZwVIbmUeG86.exe
C:\Users\User\AppData\Local\erWz0anEuNMvsiSHPOsNDrhW.exe
C:\Users\User\AppData\Local\7FszifVd3iKmyeSN32m4dt5B.exe
C:\Users\User\AppData\Local\6lVsQLaBINZWH0HFjfPs1Rto.exe
C:\Users\User\AppData\Local\tbRJuNBFt73N0PJ7l8SrwcHZ.exe
C:\Users\User\AppData\Local\UDYh8U1HngJthcIEtBXJ7euW.exe
C:\Users\User\AppData\Local\GKXu3AlcNcGmtFeLRkP2hhfc.exe
C:\Users\User\AppData\Local\OcvKs1CHU4a1DvNvjMyDre6o.exe
C:\Users\User\AppData\Local\kGtQ6OIMBqFXEcdgfHY4CaIb.exe
C:\Users\User\AppData\Local\66wUgreyIi744O9sokR5WatL.exe
C:\Users\User\AppData\Local\uowCpY7GjBJ2yOnCRpTRV1mS.exe
C:\Users\User\AppData\Local\aiuhSRZTSD6zMNSwgLuLyGWg.exe
C:\Users\User\AppData\Local\QiezIPyuZVf99BFcw7rXvO1m.exe
C:\Users\User\AppData\Local\ABz2aZizicd56tuZzneXB2bA.exe
C:\Users\User\AppData\Local\L5aWWrhRbWzn9iOEUIy43xKR.exe
C:\Users\User\AppData\Local\9ii9sPbWgz8JJQbYny2aAzkv.exe
C:\Users\User\AppData\Local\2b8DpyM3QZ1lWv38calOxUUJ.exe
C:\Users\User\AppData\Local\OyaN3QA6DCBakrdlUegiI1Vw.exe
C:\Users\User\AppData\Local\ZbcND0hNQYsd1gVTUpDtM5ye.exe
C:\Users\User\AppData\Local\KbVYd7SNoKo86CkADh1lHhiM.exe
C:\Users\User\AppData\Local\HMCUd7uiNUsgO3EExKR6JAbc.exe
C:\Users\User\AppData\Local\xwLRtL6zu1qz7l3zXXHXi9al.exe
C:\Users\User\AppData\Local\QFwRgAdPbVdhuUo50bI84ruL.exe
C:\Users\User\AppData\Local\amvwiT7eOeXanI1HbWTMHeV8.exe
C:\Users\User\AppData\Local\xfuwUjmSJGpfI9Xi1VVRpmIn.exe
C:\Users\User\AppData\Local\vbSCs6Ogh5mQGswe7XFFdEqv.exe
C:\Users\User\AppData\Local\g4K45pEjKY2gjTbMK8c4TrIj.exe
C:\Users\User\AppData\Local\PzyKkmIqqoBz4YtRrjAVx6pe.exe
AlternateDataStreams: C:\ProgramData:73c59d14 [216]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [216]
AlternateDataStreams: C:\Users\All Users:73c59d14 [216]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [216]
AlternateDataStreams: C:\Users\Все пользователи:73c59d14 [216]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [216]
AlternateDataStreams: C:\ProgramData\Application Data:73c59d14 [216]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [216]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:73c59d14 [216]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [216]
AlternateDataStreams: C:\Users\User\Application Data:73c59d14 [216]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [216]
AlternateDataStreams: C:\Users\User\AppData\Roaming:73c59d14 [216]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [216]
AlternateDataStreams: C:\Users\User\Documents\GTA San Andreas User Files:73c59d14 [216]
FirewallRules: [{4905523E-591F-46F3-8F9D-DA35033F1C8A}] => (Allow) LPort=9009
FirewallRules: [{59EE5F0E-AA08-4532-A4EC-D27C7B2EF9F1}] => (Allow) LPort=9009
FirewallRules: [{9D3F18BF-7165-4929-8349-B0A72A818370}] => (Allow) LPort=9009
FirewallRules: [{84A72EE4-6073-4696-BB54-620DC7E11061}] => (Allow) LPort=9009
FirewallRules: [{5DBDA7DA-5A70-4B49-B10E-4E7B0BAC805A}] => (Allow) LPort=9009
FirewallRules: [{FAE73CB2-EF38-4918-AF5A-8030121BB9A1}] => (Allow) LPort=9009
FirewallRules: [{632EA3E7-B46B-4BD0-8A84-D0B48215748E}] => (Allow) LPort=9009
FirewallRules: [{18CF86D4-EC6C-49CC-A8F6-5715120F05A6}] => (Allow) LPort=9009
FirewallRules: [{67EC7EEE-9DD1-4206-B51C-4FF9BB56AE8F}] => (Allow) LPort=9009
FirewallRules: [{00AF7D77-A7C0-4EB3-BE55-B7F387191BF4}] => (Allow) LPort=9009
FirewallRules: [{399A95BC-BBC7-4870-942B-69DC241633D7}] => (Allow) LPort=9009
FirewallRules: [{ADC29C8B-C22C-4822-A134-5EF5D35C6E4A}] => (Allow) LPort=9009
FirewallRules: [{4802B5D4-9C5A-4D79-956F-BA032B402320}] => (Allow) LPort=9009
FirewallRules: [{D6365243-3DFD-4839-A7C5-83E71B7533AA}] => (Allow) LPort=9009
FirewallRules: [{D3680E21-FA5D-4D0B-83F4-41018D9216E3}] => (Allow) LPort=9009
FirewallRules: [{F5295D1A-A429-49AD-BA5A-2817BCAE5466}] => (Allow) LPort=9009
FirewallRules: [{455E6244-5479-4A82-81B0-1D10BAAFD83F}] => (Allow) LPort=9009
FirewallRules: [{CE8C20B3-2D7E-4791-A5DE-0B286FE285AA}] => (Allow) LPort=9009
FirewallRules: [{5439B722-1AC4-419A-8F47-C6FDBAF3B42F}] => (Allow) LPort=9009
FirewallRules: [{DAD43502-C734-42B9-A964-152AF7F1EE03}] => (Allow) LPort=9009
FirewallRules: [{0EB5F014-2910-4A4A-9404-83E53756C067}] => (Allow) LPort=9009
FirewallRules: [{D11CC393-DE70-45E0-99A8-6E15F1683B8E}] => (Allow) LPort=9009
FirewallRules: [{945D71A4-717E-49ED-A54C-A2ECFADC5888}] => (Allow) LPort=9009
FirewallRules: [{42FBE16E-B6A2-4311-AC91-538FD2009F46}] => (Allow) LPort=9009
FirewallRules: [{B0715EA1-5231-4B77-8BCC-934371346F3F}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{63511992-6432-4D56-B67B-4FDEAC952E14}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{34D0FEBC-5A92-4003-8042-AED9378781BF}] => (Allow) LPort=9009
FirewallRules: [{400932EC-6DB3-4E8F-9296-CA514D3B76FF}] => (Allow) LPort=9009
FirewallRules: [{EB489319-F6E3-4716-90E4-A92B8CFA62B0}] => (Allow) LPort=1688
FirewallRules: [{B2C6F845-DED2-4C40-B45F-61265AA22D08}] => (Allow) LPort=9009
FirewallRules: [{971C81E6-908A-42FC-A079-3910264090D2}] => (Allow) LPort=9009
FirewallRules: [{C5995F06-F9E6-4921-B628-BAD3834548CE}] => (Allow) LPort=9009
FirewallRules: [{696002F4-362B-4C74-B8CA-5353BC1DFDA0}] => (Allow) LPort=9009
FirewallRules: [{0B2C3CCA-291C-402C-8D84-D2C62C36C3AB}] => (Allow) LPort=9009
FirewallRules: [{34758CE9-5172-4589-988A-876CC72C8520}] => (Allow) LPort=9009
FirewallRules: [{B2D8E127-6313-457D-862F-B141D5BFFAAC}] => (Allow) LPort=9009
FirewallRules: [{3138D016-EE22-44B0-AF18-B1C60540A0C5}] => (Allow) LPort=9009
FirewallRules: [{9F3CF266-AD7A-473D-AA09-D7D2A496DD64}] => (Allow) LPort=9009
FirewallRules: [{80F7C977-F7A2-41D5-B436-4048CEB0DA99}] => (Allow) LPort=9009
FirewallRules: [{50AA1189-28C8-4163-AB28-D7538A2ADB29}] => (Allow) LPort=9009
FirewallRules: [{0FFD5316-A23F-40EE-8C80-A9EA6912F13C}] => (Allow) LPort=9009
FirewallRules: [{EF37ED64-4F08-4003-B026-919BC2580D2B}] => (Allow) LPort=9009
FirewallRules: [{A9C31305-14A2-4E02-9351-84FCD3A7C89C}] => (Allow) LPort=9009
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Tybloko Новичок

Tybloko

Опубликовано
  • Автор
Опубликовано

Да, известен, его устанавливал я, но достаточно давно я думал что удалил его окончательно.
Осталось проблема увеличенного время загрузки. Когда запускается компьютер, в момент возможности входа в биос снизу появляется колёсико загрузки, вертится примерно секунд 15-20. До этого его не было, всё грузило мгновенно. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • yestryl
      [РЕШЕНО] подозрение на майнер/стиллер
      Автор yestryl
      скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC.
      CollectionLog-2025.07.13-21.57.zip
    • wastezxc
      [РЕШЕНО] стиллер
      Автор wastezxc
      после вирус не работают gpedit, regedit и никакие такие файлы
       
      так же интернет стал медленее
       
    • riia
      стиллер
      Автор riia
      нарвался на  стиллер крадет данные и идет рассылка на другие аккаунты, так же имеет удаленный доступ ко всем гугл аккаунтам, тг дс- через токен
      уже ранее пользовался 3-емя антивирусами ничего не находило
      винду тоже дропал со сбросом всех данных, не помогло 
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
×
×
  • Создать...