Борис Жбан Опубликовано 26 марта, 2017 Share Опубликовано 26 марта, 2017 В общем дал попользовать ноутбук другу и при возврате появились в диспетчере задач exeшники, так же в автозагрузке, хром удалился, а в майкрософт едж открывались непонятные ссылки рекламные, начало появляться разное ПО типа поиска майл ру, установился яндекс, и какой-то недоаваст который орет что его надо обновить, при этом защитник виндовс воспринимает его как полноценный антивирус. Кстати сам защитник оказался выключен через групповую политику, и когда я его включил он сказал что защиту от вирусов взяла на себя другая программа и ссылается на установку удаление программ, где того же аваста просто нет. CollectionLog-2017.03.27-02.12.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 27 марта, 2017 Share Опубликовано 27 марта, 2017 Здравствуйте,AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\temp\g8fd8.tmp.exe'); StopService('netfilter2'); DeleteService('netfilter2'); QuarantineFile('C:\Program Files\3TE2ROLY16\3TE2ROLY1.exe',''); QuarantineFile('C:\Program Files\4OQGFGOFZ8\4OQGFGOFZ.exe',''); QuarantineFile('C:\Program Files\9DSVFIY3VU\9DSVFIY3V.exe',''); QuarantineFile('C:\Program Files\9UJOFGWGP0\9UJOFGWGP.exe',''); QuarantineFile('C:\Program Files\A7D2A27J0J\A7D2A27J0.exe',''); QuarantineFile('C:\Program Files\CNRFOJRC3Y\CNRFOJRC3.exe',''); QuarantineFile('C:\Program Files\DUPHOHT7ZY\786PFLJQU.exe',''); QuarantineFile('C:\Program Files\FC2QEB6T1V\Z5WRME8EU.exe',''); QuarantineFile('C:\Program Files\GXPDZU70PE\GXPDZU70P.exe',''); QuarantineFile('C:\Program Files\KCJO1ENA70\KCJO1ENA7.exe',''); QuarantineFile('C:\Program Files\LLHHJ5K87P\LLHHJ5K87.exe',''); QuarantineFile('C:\Program Files\N2K6FE03K8\N2K6FE03K.exe',''); QuarantineFile('C:\Program Files\Q68D26KCNW\Q68D26KCN.exe',''); QuarantineFile('C:\Program Files\T75HU80AR4\T75HU80AR.exe',''); QuarantineFile('C:\Program Files\X2F0XOBV4V\ARLF5NHW3.exe',''); QuarantineFile('C:\Program Files\Z67OQMA3CG\Z67OQMA3C.exe',''); QuarantineFileF('C:\Program Files\3TE2ROLY16', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\4OQGFGOFZ8', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\9DSVFIY3VU', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\9UJOFGWGP0', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\A7D2A27J0J', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\CNRFOJRC3Y', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\DUPHOHT7ZY', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\FC2QEB6T1V', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\GXPDZU70PE', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\KCJO1ENA70', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\LLHHJ5K87P', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\N2K6FE03K8', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\Q68D26KCNW', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\T75HU80AR4', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\X2F0XOBV4V', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFileF('C:\Program Files\Z67OQMA3CG', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFile('C:\ProgramData\9g854g948y606\9g854g948y606.dll',''); QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\Adobe\Manager.exe',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\CDManager\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\ForceUpdateVOF\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\VOF\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\VOF\updater.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\Vofer2\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\vofer\ml.py',''); QuarantineFile('C:\Users\Boris\AppData\Roaming\vofer\python\pythonw.exe',''); QuarantineFile('C:\Users\Boris\appdata\roaming\adobe\manager.exe',''); QuarantineFile('C:\WINDOWS\TEMP\g5758.tmp',''); QuarantineFile('C:\WINDOWS\TEMP\g8FD8.tmp.exe',''); QuarantineFile('ServiceMgr.sys',''); QuarantineFile('c:\windows\temp\g8fd8.tmp.exe',''); DeleteFile('C:\Program Files\1PS39S78Y2\EEZIHSD9X.exe','32'); DeleteFile('C:\Program Files\3HC51QSXXJ\3HC51QSXX.exe','32'); DeleteFile('C:\Program Files\3SK90QYVJM\3SK90QYVJ.exe','32'); DeleteFile('C:\Program Files\3TE2ROLY16\3TE2ROLY1.exe','32'); DeleteFile('C:\Program Files\4OQGFGOFZ8\4OQGFGOFZ.exe','32'); DeleteFile('C:\Program Files\9DSVFIY3VU\9DSVFIY3V.exe','32'); DeleteFile('C:\Program Files\9UJOFGWGP0\9UJOFGWGP.exe','32'); DeleteFile('C:\Program Files\A7D2A27J0J\A7D2A27J0.exe','32'); DeleteFile('C:\Program Files\BIYZD0M0N5\BIYZD0M0N.exe','32'); DeleteFile('C:\Program Files\CNRFOJRC3Y\CNRFOJRC3.exe','32'); DeleteFile('C:\Program Files\DUPHOHT7ZY\786PFLJQU.exe','32'); DeleteFile('C:\Program Files\FC2QEB6T1V\Z5WRME8EU.exe','32'); DeleteFile('C:\Program Files\GXPDZU70PE\GXPDZU70P.exe','32'); DeleteFile('C:\Program Files\JP4PB8UEIQ\JP4PB8UEI.exe','32'); DeleteFile('C:\Program Files\KCJO1ENA70\KCJO1ENA7.exe','32'); DeleteFile('C:\Program Files\LLHHJ5K87P\LLHHJ5K87.exe','32'); DeleteFile('C:\Program Files\MV7IMF0L67\MV7IMF0L6.exe','32'); DeleteFile('C:\Program Files\N2K6FE03K8\N2K6FE03K.exe','32'); DeleteFile('C:\Program Files\Q68D26KCNW\Q68D26KCN.exe','32'); DeleteFile('C:\Program Files\R5MX19IVZR\R5MX19IVZ.exe','32'); DeleteFile('C:\Program Files\T75HU80AR4\T75HU80AR.exe','32'); DeleteFile('C:\Program Files\X2F0XOBV4V\ARLF5NHW3.exe','32'); DeleteFile('C:\Program Files\Z67OQMA3CG\Z67OQMA3C.exe','32'); DeleteFile('C:\ProgramData\9g854g948y606\9g854g948y606.dll','32'); DeleteFile('C:\ProgramData\RegisterObject\RegisterObject.exe','32'); DeleteFile('C:\Users\Boris\AppData\Local\rightchose\regCheck.vbs','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\Adobe\Manager.exe','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\CDManager\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\ForceUpdateVOF\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\ForceUpdateVOF\uninstall.exe','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\VOF\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\Vofer2\IQmanager\app.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\Vofer2\IQmanager\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\Vofer2\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\Vofer2\updater.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\vofer\ml.py','32'); DeleteFile('C:\Users\Boris\AppData\Roaming\vofer\python\pythonw.exe','32'); DeleteFile('C:\Users\Boris\appdata\roaming\adobe\manager.exe','32'); DeleteFile('C:\WINDOWS\TEMP\g5758.tmp','32'); DeleteFile('C:\WINDOWS\TEMP\g8FD8.tmp.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys','32'); DeleteFile('c:\windows\temp\g8fd8.tmp.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "9g854g948y606" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "9g854g948y606-dll" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "CDManager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\RegisterObject" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ekdkbhhhgpgbbhaljkbeihbagmgmeemp" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true); DeleteFileMask('C:\Users\Boris\AppData\Roaming\vofer', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Roaming\vofer'); DeleteFileMask('C:\Users\Boris\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp'); DeleteFileMask('C:\Users\Boris\AppData\Roaming\Vofer2', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Roaming\Vofer2'); DeleteFileMask('C:\Users\Boris\AppData\Roaming\VOF', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Roaming\VOF'); DeleteFileMask('C:\Users\Boris\AppData\Roaming\ForceUpdateVOF', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Roaming\ForceUpdateVOF'); DeleteFileMask('C:\Users\Boris\AppData\Local\rightchose', '*', true, ' '); DeleteDirectory('C:\Users\Boris\AppData\Local\rightchose'); DeleteFileMask('C:\ProgramData\9g854g948y606', '*', true, ' '); DeleteDirectory('C:\ProgramData\9g854g948y606'); DeleteFileMask('C:\Program Files\Z67OQMA3CG', '*', true, ' '); DeleteDirectory('C:\Program Files\Z67OQMA3CG'); DeleteFileMask('C:\Program Files\T75HU80AR4', '*', true, ' '); DeleteDirectory('C:\Program Files\T75HU80AR4'); DeleteFileMask('C:\Program Files\R5MX19IVZR', '*', true, ' '); DeleteDirectory('C:\Program Files\R5MX19IVZR'); DeleteFileMask('C:\Program Files\Q68D26KCNW', '*', true, ' '); DeleteDirectory('C:\Program Files\Q68D26KCNW'); DeleteFileMask('C:\Program Files\N2K6FE03K8', '*', true, ' '); DeleteDirectory('C:\Program Files\N2K6FE03K8'); DeleteFileMask('C:\Program Files\MV7IMF0L67', '*', true, ' '); DeleteDirectory('C:\Program Files\MV7IMF0L67'); DeleteFileMask('C:\Program Files\1PS39S78Y2', '*', true, ' '); DeleteDirectory('C:\Program Files\1PS39S78Y2'); DeleteFileMask('C:\Program Files\3HC51QSXXJ', '*', true, ' '); DeleteDirectory('C:\Program Files\3HC51QSXXJ'); DeleteFileMask('C:\Program Files\3SK90QYVJM', '*', true, ' '); DeleteDirectory('C:\Program Files\3SK90QYVJM'); DeleteFileMask('C:\Program Files\3SK90QYVJM', '*', true, ' '); DeleteDirectory('C:\Program Files\3SK90QYVJM'); DeleteFileMask('C:\Program Files\3TE2ROLY16', '*', true, ' '); DeleteDirectory('C:\Program Files\3TE2ROLY16'); DeleteFileMask('C:\Program Files\4OQGFGOFZ8', '*', true, ' '); DeleteDirectory('C:\Program Files\4OQGFGOFZ8'); DeleteFileMask('C:\Program Files\9DSVFIY3VU', '*', true, ' '); DeleteDirectory('C:\Program Files\9DSVFIY3VU'); DeleteFileMask('C:\Program Files\9UJOFGWGP0', '*', true, ' '); DeleteDirectory('C:\Program Files\9UJOFGWGP0'); DeleteFileMask('C:\Program Files\A7D2A27J0J', '*', true, ' '); DeleteDirectory('C:\Program Files\A7D2A27J0J'); DeleteFileMask('C:\Program Files\BIYZD0M0N5', '*', true, ' '); DeleteDirectory('C:\Program Files\BIYZD0M0N5'); DeleteFileMask('C:\Program Files\CNRFOJRC3Y', '*', true, ' '); DeleteDirectory('C:\Program Files\CNRFOJRC3Y'); DeleteFileMask('C:\Program Files\DUPHOHT7ZY', '*', true, ' '); DeleteDirectory('C:\Program Files\DUPHOHT7ZY'); DeleteFileMask('C:\Program Files\FC2QEB6T1V', '*', true, ' '); DeleteDirectory('C:\Program Files\FC2QEB6T1V'); DeleteFileMask('C:\Program Files\GXPDZU70PE', '*', true, ' '); DeleteDirectory('C:\Program Files\GXPDZU70PE'); DeleteFileMask('C:\Program Files\JP4PB8UEIQ', '*', true, ' '); DeleteDirectory('C:\Program Files\JP4PB8UEIQ'); DeleteFileMask('C:\Program Files\JP4PB8UEIQ', '*', true, ' '); DeleteDirectory('C:\Program Files\JP4PB8UEIQ'); DeleteFileMask('C:\Program Files\KCJO1ENA70', '*', true, ' '); DeleteDirectory('C:\Program Files\KCJO1ENA70'); DeleteFileMask('C:\Program Files\LLHHJ5K87P', '*', true, ' '); DeleteDirectory('C:\Program Files\LLHHJ5K87P'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1Q4YOD9VNP'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39VPB0B94Y'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','62ADIOWUN4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8IXTJLQJ7F'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BOIB2MHRQG'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CK6SJPOYB9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DQX2Z031HB'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GCCYRZE57U'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HJ4RS1JOWD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HRHTO4M9D1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KAVG1D848D'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KB4AZ1RUZG'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','N5S4VTEAAQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SHYRWZZ88L'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','U0CNWOBCCL'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','U3P0NGO6P0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','U8LLWUIZG0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VOK7WKPOLK'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VP0HYYWTZG'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','X3NTJTMQB6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Y0BDBQ0ODY'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Y5RA1K24EX'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DESKTOP-Q7V00C0'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 27 марта, 2017 Автор Share Опубликовано 27 марта, 2017 Ответ лаборатории: Re: "Запрос на исследование вредоносного файла" [KLAN-6019274995]Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.Malicious code has been detected in the following files:9g854g948y606.dll - HEUR:Trojan.Win32.Genericg5758.tmp - HEUR:Trojan.Win32.Genericg8FD8.tmp.exe - Trojan.Win64.Wdfload.adoNo information about the specified files can be found in the antivirus databases:RegisterObject.exeml.pyMalicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:Manager.exe - UDS:DangerousObject.Multi.GenericWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 27 марта, 2017 Share Опубликовано 27 марта, 2017 удалите все найденное в AdwCleaner (можете оставить элементы Mail.ru)(ссылка на инструкцию у меня в подписи).полученный лог пришлите.проблема с обнаружением Avast в системе ещё актуальна? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 27 марта, 2017 Автор Share Опубликовано 27 марта, 2017 (изменено) Проблема с авастом осталась окошко выползающее у трея имеет название Avast upgrade utility, но в файловой системе я его найти не могу и в процессах ничего похожего. UPD. Вру. Окошко это выползает, но защитник win полностью взял на себя защиту. AdwCleanerC0.txt Изменено 27 марта, 2017 пользователем Борис Жбан Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 27 марта, 2017 Share Опубликовано 27 марта, 2017 Окошко это выползает используйте https://www.avast.ru/uninstall-utilityчто-то ещё беспокоит? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 27 марта, 2017 Автор Share Опубликовано 27 марта, 2017 Вроде все, большое спасибо =) однако для меня пока не понятно, все ли решилось. За сутки думаю будет понятно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 27 марта, 2017 Share Опубликовано 27 марта, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 27 марта, 2017 Автор Share Опубликовано 27 марта, 2017 (изменено) Готово. А эта программа на предмет чего сканирует? Addition.txt FRST.txt Изменено 27 марта, 2017 пользователем Борис Жбан Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 28 марта, 2017 Share Опубликовано 28 марта, 2017 Удалите через установку программ в панели управления. ekdkbhhhgpgbbhaljkbeihbagmgmeemp (HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\ekdkbhhhgpgbbhaljkbeihbagmgmeemp) (Version: - ) Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKLM\...\Providers\rjf9b0di: C:\Program Files (x86)\Qebele Reports\local64spl.dll [307200 2017-03-25] () ShellExecuteHooks: No Name - {1E55E6C6-0D5A-11E7-8BD8-64006A5CFC23} - C:\Users\Boris\AppData\Roaming\Stfiylaty\Ghemeckanirersh.dll -> No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File GroupPolicy: Restriction - Chrome <======= ATTENTION C:\Program Files (x86)\Qebele Reports C:\Users\Boris\AppData\Roaming\Stfiylaty FF HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Boris\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found FF Plugin HKU\S-1-5-21-29052729-1829903329-52755890-1001: @mail.ru/GameCenter -> C:\Users\Boris\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] CHR StartupUrls: ChromeDefaultData -> "hxxp://google.ru/","hxxp://mail.ru/cnt/10445?gp=820321","hxxp://mail.ru/cnt/10445?gp=821111","hxxp://www.trotux.com/?z=dc83a69d812d95207b92ef2g8zbtaeaz0w0qao5zdb&from=isr2&uid=TOSHIBAXMQ01ABD100_15OUTM7WTXX15OUTM7WT&type=hp","hxxp://mail.ru/cnt/10445?gp=821115" CHR HKU\S-1-5-21-29052729-1829903329-52755890-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx 2017-03-27 01:29 - 2017-03-27 01:29 - 00000000 ___DC C:\Program Files\QRQR8IOFVS 2017-03-26 11:48 - 2017-03-26 14:47 - 00003564 _____ C:\WINDOWS\System32\Tasks\Vofer2 Folder: C:\Users\Boris\AppData\Local\Anahaty Folder: C:\Program Files (x86)\Dedoly 2017-03-25 18:37 - 2017-03-25 18:37 - 00000000 ____D C:\Program Files (x86)\Dedoly 2017-03-25 18:36 - 2017-03-26 11:51 - 00000040 _____ C:\Users\Boris\AppData\Roaming\vofer.exe.sha1 2017-03-25 18:33 - 2017-03-27 09:45 - 00000000 ____D C:\Users\Boris\AppData\Roaming\Vofer2 2017-03-25 18:33 - 2017-03-25 18:33 - 00000040 _____ C:\Users\Boris\AppData\Roaming\Vofer2.exe.sha1 2017-03-25 18:32 - 2017-03-27 01:03 - 00000000 ____D C:\Users\Boris\AppData\Roaming\CDManager 2017-03-25 18:32 - 2017-03-26 11:57 - 00000040 _____ C:\Users\Boris\AppData\Roaming\vof.exe.sha1 2017-03-25 18:32 - 2017-03-25 18:32 - 00000040 _____ C:\Users\Boris\AppData\Roaming\CDManager.exe.sha1 2017-03-25 18:31 - 2017-03-27 01:31 - 00000000 ____D C:\Users\Boris\AppData\Roaming\Stfiylaty 2017-03-25 18:31 - 2017-03-25 18:35 - 00000000 ____D C:\Users\Boris\AppData\Local\Prermerward 2017-03-25 18:31 - 2017-03-25 18:31 - 00000000 ____D C:\Program Files (x86)\Qejisyfank 2017-03-25 18:31 - 2017-03-25 18:31 - 00000000 ____D C:\Program Files (x86)\Qebele Reports 2017-03-25 18:30 - 2017-03-26 13:26 - 00000000 ____D C:\Users\Все пользователи\ProductData 2017-03-25 18:30 - 2017-03-26 13:26 - 00000000 ____D C:\ProgramData\ProductData 2017-03-25 18:29 - 2017-03-27 09:48 - 00000000 ___HD C:\Users\Все пользователи\9g854g948y606 2017-03-25 18:29 - 2017-03-27 09:48 - 00000000 ___HD C:\ProgramData\9g854g948y606 2017-03-25 18:29 - 2017-03-27 09:45 - 00016804 _____ C:\WINDOWS\System32\Tasks\9g854g948y606 2017-03-25 18:32 - 2017-03-25 18:32 - 0000040 _____ () C:\Users\Boris\AppData\Roaming\CDManager.exe.sha1 2016-07-03 15:01 - 2016-09-24 21:01 - 0045270 _____ () C:\Users\Boris\AppData\Roaming\room_v3.dat 2017-03-25 18:32 - 2017-03-26 11:57 - 0000040 _____ () C:\Users\Boris\AppData\Roaming\vof.exe.sha1 2017-03-25 18:36 - 2017-03-26 11:51 - 0000040 _____ () C:\Users\Boris\AppData\Roaming\vofer.exe.sha1 2017-03-25 18:33 - 2017-03-25 18:33 - 0000040 _____ () C:\Users\Boris\AppData\Roaming\Vofer2.exe.sha1 2016-08-15 05:02 - 2016-08-15 05:02 - 0000000 ____H () C:\ProgramData\DP45977C.lfl 2016-06-14 01:56 - 2016-06-14 01:56 - 0000016 _____ () C:\ProgramData\mntemp Task: {3E2BE052-36C8-4454-8626-DA3FC57FAEAB} - System32\Tasks\9g854g948y606 => Rundll32.exe "C:\ProgramData\9g854g948y606\9g854g948y606.dll",gybXJI <==== ATTENTION Task: {40C3AA9E-F67E-4840-A381-EC7609769AB7} - System32\Tasks\{934C0DF4-CF71-46BD-8004-779052848AE4} => pcalua.exe -a C:\Users\Boris\AppData\Roaming\ForceUpdateVOF\uninstall.exe Task: {6C89FA6A-A1BB-42F3-A596-EB5EB180AC1D} - System32\Tasks\Vofer2 => C:\Users\Boris\AppData\Roaming\Vofer2\python\pythonw.exe Task: {93B21F64-FC95-4B69-8043-1A557520443E} - \KMSAuto -> No File <==== ATTENTION Task: {B2CEF4CF-A6B5-4611-B946-1D6009E4BC0B} - System32\Tasks\Driver Booster SkipUAC (Boris) => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe 2017-03-25 18:31 - 2017-03-25 18:31 - 00307200 _____ () C:\Program Files (x86)\Qebele Reports\local64spl.dll AlternateDataStreams: C:\ProgramData\TEMP:6CC69D3C [128] AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209] AlternateDataStreams: C:\Users\Все пользователи\TEMP:6CC69D3C [128] AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [209] HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "regCheck.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "vofer.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "ForceUpdateVOF.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "Vofer2.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "VOF.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\StartupFolder: => "CDManager.lnk" HKU\S-1-5-21-29052729-1829903329-52755890-1001\...\StartupApproved\Run: => "AceStream" 2017-03-25 18:30 - 2017-03-25 18:30 - 00000000 ____D C:\WINDOWS\IObit 2017-03-25 18:30 - 2017-03-25 18:30 - 00000000 ____D C:\Users\Все пользователи\IObit 2017-03-25 18:30 - 2017-03-25 18:30 - 00000000 ____D C:\Users\Boris\AppData\LocalLow\IObit 2017-03-25 18:30 - 2017-03-25 18:30 - 00000000 ____D C:\ProgramData\IObit 2017-03-25 18:29 - 2017-03-25 18:29 - 00000000 ____D C:\Users\Boris\AppData\Roaming\IObit Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 29 марта, 2017 Автор Share Опубликовано 29 марта, 2017 Фикслог Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 29 марта, 2017 Share Опубликовано 29 марта, 2017 Знаком ли Вам каталог? C:\Users\Boris\AppData\Local\Anahaty Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Жбан Опубликовано 29 марта, 2017 Автор Share Опубликовано 29 марта, 2017 Нет, нечто левое, удалять папку? Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 29 марта, 2017 Share Опубликовано 29 марта, 2017 Нет, нечто левое, удалять папку? Если незнакома и уверены то удаляйте. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти