Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Google Toolbar for Internet Explorer

Кнопка "Яндекс" на панели задач

 

 

Следы бывшей установки Avast очистите с помощью этой утилиты, загрузив систему в безопасном режиме.

 

Далее в нормальном режиме:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {0EB12BC0-869C-4441-BC2C-BCD8AE1D1E3D} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
    Task: {4441484D-EAB1-4D9B-8764-1348543FE2BE} - \Программа онлайн-обновления Adobe. -> Нет файла <==== ВНИМАНИЕ
    Task: {539BB029-DDD8-458F-BBA2-9580A7BD5C7A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
    Task: {D56A86BA-F35B-4260-B17F-936E41A49AA5} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2144664 2023-08-01] (Avast Software s.r.o. -> Avast Software)
    Task: {3EC064C9-F1D4-49D3-B634-4FE135BEEE8F} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (Нет файла)
    C:\Users\ChernovAM_Black\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    R0 aswArDisk; C:\WINDOWS\System32\drivers\aswArDisk.sys [37320 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswArPot; C:\WINDOWS\System32\drivers\aswArPot.sys [209256 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbidsdriver; C:\WINDOWS\System32\drivers\aswbidsdriver.sys [263224 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbidsh; C:\WINDOWS\System32\drivers\aswbidsh.sys [206056 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbuniv; C:\WINDOWS\System32\drivers\aswbuniv.sys [61688 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S1 aswHdsKe; C:\WINDOWS\System32\drivers\aswHdsKe.sys [279336 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
    AlternateDataStreams: C:\Users\ChernovAM_Black\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\ChernovAM_Black\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{38D3A17E-3723-4C33-AA90-CA0FC8AC3FC2}] => (Allow) LPort=1688
    FirewallRules: [{5B0CF755-DADB-4CBC-A3E9-A3CA60525118}] => (Allow) LPort=54925
    FirewallRules: [{61863AFB-9C59-410D-A863-3229468AE963}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{4CAD0E5B-601F-4900-9312-3E255A9F8EF2}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{DD79565E-A5FF-449B-967C-27DE298BB486}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{7390FD72-8B62-4E3A-97C6-F52AEFF16778}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{22ADCBAB-5DD7-4FE4-8F4F-0709BAC1A823}] => (Allow) LPort=33300
    FirewallRules: [{F8EE0743-1145-4D6C-BA3C-7E6EC3419FB4}] => (Allow) LPort=3392
    FirewallRules: [{14600537-2EF0-4AF2-928B-D8FC647CE687}] => (Allow) LPort=1688
    FirewallRules: [{19AFADB9-BAB6-4011-B668-77E76CD7B706}] => (Allow) LPort=2456
    FirewallRules: [{61D17DE2-2F71-438D-A692-1DC6AAFBE48B}] => (Allow) LPort=2457
    FirewallRules: [{5052FED7-8531-4A7B-B96D-9FD412CB25CB}] => (Allow) LPort=2458
    FirewallRules: [{CABB7926-8756-4019-8E02-5173181150CA}] => (Allow) LPort=2456
    FirewallRules: [{C6E2945B-CCC8-4448-8DEC-04FC2B7161F2}] => (Allow) LPort=2456
    FirewallRules: [{A25F1130-1934-4C3A-9A14-AFA0405ACB33}] => (Allow) LPort=2457
    FirewallRules: [{1A32B738-3958-4FEC-A7EC-304C5BEA6902}] => (Allow) LPort=2458
    FirewallRules: [{15383399-85DF-46FB-A030-304A8E2D9527}] => (Allow) LPort=48703
    FirewallRules: [{2DF25D8C-1653-4D7B-B157-CEFAF8AC48CE}] => (Allow) LPort=5357
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • Автошкола
      От Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Что делать, посоветуйте.
      Пострадали сервера WIN 2016 на которых установлен RSC и WIN 10 с установленным KESW.
      Все активировано, защита включена!
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Подвергся атаке вируса-шифровальщика honeycorselikesmoney.
      Вирус запустился, как я понял, после 00:00 после дня заражения. Видимо, по расписанию.
      Подскажите пожалуйста есть ли смысл пытаться чистить систему или только переустановка?
      Спасибо.
    • Andrey14
      От Andrey14
      Добрый день. Вышло сообщение, текст ниже. Первый раз столкнулся с такой ситуацией, можно его как то расшифровать? Важные данные лежат, 4 виртуалки (1С, SQL). Может кто сталкивался, или бесполезно и все пропало? Не хочется платить вымогателям (да и ценник думаю будет не маленький).
      ALL YOUR FILES HAVE BEEN ENCRYPTED DUE TO A SECURITY PROBLEM WITH YOUR PC.
      If you want to restore them :
      1) Send your unique id BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI and max 3 files for test decryption
      OUR CONTACTS:
      1.1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      1.2) ICQ Messenger
      ICQ live chat which works 24/7 - @PISCOSTRUI
      Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
      Write to our ICQ @PISCOSTRUI https://icq.im/PISCOSTRUI
      1.3) Skype 
      PISCOSTRUI DECRYPTION
      1.4) Mail (write only in critical situations bcs your email may not be delivered or get in spam)
      * piscostrui@onionmail.org
      In subject line please write your decryption ID: BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
      After payment we will send you the decryption tool that will decrypt all your files.
      FREE DECRYPTION AS A GUARANTEE!
      Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived),
      and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
      How to obtain Bitcoins:
      https://www.alfa.cash/buy-crypto-with-credit-card (the fastest way)
      buy.coingate.com
      https://bitcoin.org/en/buy
      https://buy.moonpay.io
      binance.com
      coinmama.com
    • Gaspar77
      От Gaspar77
      Добрый день.
      Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.
      Касперский Endpoint Security не помог. И сейчас файла вируса не находит.
      Помогите пожалуйста с расшифровкой.
      frst.rar Crypted.rar text.rar
×
×
  • Создать...