elvin-04 Опубликовано 15 декабря, 2016 Опубликовано 15 декабря, 2016 (изменено) Добрый день. Обычно не бывает вирусов, продвинутый пользователь. Доступ к почте получили из Кореии, но подозрительная аутентификация из непривычного места заблокировала доступ.Пароли длинные, компьютер был выключен. Использую различные пароли на разных площадках. Сменил пароль. На подозрительные сайты не захожу. Сам до проверки обнаружил пару файлов (Были в папке Вин), отправил в ЛК:[KLAN-5489611876]Riskware application which may harm your computer was detected in files:SECOH-QAD.dll - not-a-virus:NetTool.Win64.RPCHook.aSECOH-QAD.exe - not-a-virus:RiskTool.Win64.ProcPatcher.a Из подозрительной активности, сам открывается лоток DVD привода... (Возможно устройство не исправно) Но я думаю это файлы KMSPico (Кряк для Windows) Не знаю откуда. Хотя у самого Windows 10 Single Language (OEM Licence), активаторы не нужны P.S. Хост файл сам изменил. Чтоб трехбуквенные конторы не лезли :-D Заранее спасибо. CollectionLog-2016.12.13-19.34.zip Изменено 15 декабря, 2016 пользователем elvin-04
Sandor Опубликовано 15 декабря, 2016 Опубликовано 15 декабря, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteRepair(9); RebootWindows(false); end. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
elvin-04 Опубликовано 17 декабря, 2016 Автор Опубликовано 17 декабря, 2016 (изменено) Скрипт выполнился успешно.Также сегодня пытались получить доступ к ВКонтакте, хотя ПК был выключен. После взлома баз данных ВК, все пароли были сменены.Файл Shortcut.txt не был создан.P.S. Форум обновился? Я давно был на этом форуме, с помощью старого аккаунта залогинится не удалось, нету такого юзера. Прошлось создать нового с таким именем. Вы удалили базу юзеров? FRST.txt Addition.txt Изменено 17 декабря, 2016 пользователем elvin-04
Roman_Five Опубликовано 17 декабря, 2016 Опубликовано 17 декабря, 2016 Вы удалили базу юзеров? никто ничего не удалял.напишите старый логин Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: AppInit_DLLs: c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File GroupPolicy: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192] AlternateDataStreams: C:\Users\Public\DRM:احتضان [98] AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. вообще в системе ничего такого не видно. косметическая подчистка.можно ещё хвосты от адваре погонять. http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
elvin-04 Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 (изменено) Вы удалили базу юзеров? напишите старый логин Как и новый elvin-04 вообще в системе ничего такого не видно. косметическая подчистка.можно ещё хвосты от адваре погонять. http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158 Спасибо. Сделал. Не могу прикрепить файлы, пишет: Загрузка пропущена (Ошибка IO) Вот результат: fixlog.txt: Fix result of Farbar Recovery Scan Tool (x64) Version: 17-12-2016 Ran by Elvin (20-12-2016 14:14:11) Run:1 Running from C:\Users\\Desktop Loaded Profiles: (Available Profiles: & Гость) Boot Mode: Normal ============================================== fixlist content: ***************** CreateRestorePoint: AppInit_DLLs: c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File GroupPolicy: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192] AlternateDataStreams: C:\Users\Public\DRM:?????? [98] AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192] Reboot: ***************** Restore point was successfully created. " c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll" => Value data removed successfully. C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully "C:\WINDOWS\system32\GroupPolicy\Machine" => not found. C:\WINDOWS\system32\GroupPolicy\User => moved successfully "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully HKCR\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found. "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully HKCR\Wow6432Node\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask" => key removed successfully C:\ProgramData\Temp => ":1677AB3F" ADS removed successfully. C:\Users\Public\DRM => ":??????" ADS could not remove. "C:\Users\Все пользователи\Temp" => ":1677AB3F" ADS not found. The system needed a reboot. ==== End of Fixlog 14:15:11 ==== P.S. А как тогда получили доступ к outlook.com (Skype) и ВК? Изменено 21 декабря, 2016 пользователем elvin-04
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти