regist 617 Опубликовано 23 ноября, 2017 Share Опубликовано 23 ноября, 2017 Да, файл существует в этом месте. Он вам знаком? Если нет, то просьба заархивировать и также прислать в ЛС. Уже не знаю что и удалять для нормальной работы. Посмотрите тут C:\Windows\Windows\ двойная вложенность папок это не нормально, скорее всего вторая создана вирусом и её можно удалить . Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B9D8FC878-475D-4CF5-B58D-4E6FFFD18B13%7D&GP=821116 delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B1F6D0F9C-0862-4348-974F-025B763A5AA3%7D&GP=821112 delref HTTP://MAIL.RU/CNT/10445?GP=821115 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LHEMECHCANJMILLLMCCJBJLDONMNNJJJ\3.3.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROLEAVES\ONLINE APPLICATION\VERSION 2.6.0\ONLINE-GUARDIAN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\CLEANUPCONSOLE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\ONESYSTEMCARE.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE ;---------command-block--------- delref %SystemDrive%\PROGRA~2\ONESYS~1\SYSTEM~1.EXE delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\TEMP\HYD9157.TMP.1480945387\HTA\3RDPARTY\FS.OCX apply regt 27 restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 24 ноября, 2017 Автор Share Опубликовано 24 ноября, 2017 Во вложении - DisableUnusedSmb1.ps1 Папка C:\Windows\Windows\ - почти пустая, там и метра не было, но почистил. Скрипт выполнил. Отчет прилагаю (но версия не была активирована на премиум, т.к. первы пуск был без подключения к инетую Потом подключился, обновился, запустил обычный скан, прога стала на инглише, мало что понятно) А в скрине нашел какие-то угрозы.. А в предыдущем отчеты от adw был какой-то биткоин майнер... что ли... может он место съедает на диске? scan.txt DisableUnusedSmb1.rar скан.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 ноября, 2017 Share Опубликовано 24 ноября, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 ноября, 2017 Share Опубликовано 24 ноября, 2017 Прикрепленный файл scan.txt 36байт лог пустой. Пожалуста заново сохраните его и прикрепите.Скрин также поврежден, но всё равно нужен не скрин, а лог. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 24 ноября, 2017 Автор Share Опубликовано 24 ноября, 2017 После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Сделано. Прикрепляю. лог пустой. Пожалуста заново сохраните его и прикрепите.Скрин также поврежден, но всё равно нужен не скрин, а лог. Возможно из-за нехватки места на диске С не удается записать лог? Не знаю в чем и причина, все по инструкции. Да, прошлые разы проверка не выдавала ничего! Не понимаю почему, может из-за нехватки места. Сейчас удалил 1гиг нужного контента, и проверка нашла 360 угроз... При этом место съедалось со скоростью примерно 4мб в секунду!Чего делать, куда деётся место?)) Скан прикрепляю в txt. Гугл хром я бы удалил нафиг полностью ,если это поможет избавиться от хвостов. Addition.txt FRST.txt Shortcut.txt скан_новый.txt Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 Пока суть да дело, Malwarebytes' Anti-Malware. еще выявил вредоносное ПО. Количество растет как на дрожжях Было 260, стало 349.... Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2017 Share Опубликовано 26 ноября, 2017 1) желательно создать точку восстановления, но у вас наверно нет места для её создания? 2) Удалите в MBAM всё найденное и повторите сканирование. Свежий лог прикрепите. и по поводу места, если так быстро оно исчезает и его критически нехватает. Временно можете попробовать пользоваться системой из безопасного режима с поддержкой сети. Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 Точку восстановления создал. МВАМ все удалил, перезагрузил комп, но потом еще нашел... я опять все удалил, но уже не предлагал перезагрузить. И опять скан нашел вредоносное ПО... сканеще.txt Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 Проблема похоже решена. По крайней мере МВАМ не находит больше шпионского ПО (несколько раз сканил и потом с карантина все-таки все удалилось). Большое Вам спасибо за участие и помощь! А так же за Ваше время. Спасибо большое regist Спасибо Sandor Как мне все таки убедиться, что хвостов нет и не осталось больше заразы? Ну и лазеек для нее на будущее? ещеодинскан.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2017 Share Опубликовано 26 ноября, 2017 По прикреплённому отчёту всё найденное можно удалить. Если C:\USERS\ANTICHRIST\DOWNLOADS\DRIVERPACK-17-ONLINE.EXE нужен, то его оставьте. Потом свежие логи по правилам сделайте. Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 Потом свежие логи по правилам сделайте. Новый нулевой скан уже отправил. А что за логи еще нужны? AutoLogger прилагаю. CollectionLog-2017.11.27-00.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2017 Share Опубликовано 26 ноября, 2017 1) "Пофиксите" в HijackThis: O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- "https://click.kaspersky.com/?hl=ru-RU&customization=&link=components_failure&syst=Microsoft Windows 10 10.0.16299 Service Pack 0 Build 16299&pid=kis&version=18.0.0.405&hotfix=a.b.c.d&installid={1F260AB5-66AD-45F3-A7EB-5B497E7AFE73}&serial=&lic-id=7B6D44E2-C619-4E76-B63E-1A9F6F6FAF1C&ktype=5&kcount=3&kcreat=20171120T153957&kexp=20180803T000102&kinst=20170802T000102" (file missing) O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE (file missing) O22 - Task (Disabled): \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing) O22 - Task (Disabled): \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing) O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - C:\Windows\SysWOW64\wpcumi.dll (file missing) O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - C:\Windows\SysWOW64\wpcmig.dll (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\ActivateWindowsSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\ConfigureInternetTimeService - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\DispatchRecoveryTasks - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\InstallPlayReady - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\MediaCenterRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -MediaCenterRecoveryTask (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURActivate - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURDiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -ObjectStoreRecoveryTask (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW1 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW2 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrRecoveryTask (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrScheduleTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrSchedule (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\RegisterSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\ReindexSearchRoot - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\SqlLiteRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -SqlLiteRecoveryTask (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\WINDOWS\ehome\ehrec /StartRecording (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\UpdateRecordPath - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\ehDRMInit - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing) O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client" O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server" 2) MBAM деинсталируйте. 3) Сделайте свежие логи автологером. PS. место больше не пропадает? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 27 ноября, 2017 Автор Share Опубликовано 27 ноября, 2017 1. Пофиксил. 2. МВАМ удалил 3. Лог прилагаю. 4. Место не пропадает. Узнаете куда пропадало - убьете меня))) З.ы. Все по логам ок на Ваш взгляд? CollectionLog-2017.11.27-15.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 ноября, 2017 Share Опубликовано 27 ноября, 2017 Узнаете куда пропадало у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место. Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться программами типа SpaceSniffer (в поиковике можете поискать, есть несколько аналогичных по функционалу, но слегка отличаются интерфейсом и удобством). Все по логам ок на Ваш взгляд? да, чисто. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ANTICHRIST 0 Опубликовано 27 ноября, 2017 Автор Share Опубликовано 27 ноября, 2017 у вас среди прочей заразы там майнер жил. Это да, согласен. Был и майнер и другая зараза. И еще невнимательный юзер)) Только ногами не бейте, ок? Я после заражения, когда запустил КИС, взял сдуру в первый раз и включил вести запись мониторинга проблем. После его отключения (вчера) место перестало пропадать с дикой скоростью. А после удаления всех накопленных отчетов - освободилось 50 гигов! Кто бы знал (и предупредил при включении), что эта фича съедает столько места?! Хоть бы ограничения какие были... В общем, сам виноват. Хорошо, хоть догадался пофиксить. Больше юзать эту фичу не буду))) Выполните скрипт в AVZ при наличии доступа в интернет: Все сделал, все гуд! Выполните рекомендации после лечения. Удалил и почистил как сказано. Вам еще раз огромное спасибо за участие и помощь! Вы очень помогли! Тему можно закрывать. И в ФАК.))) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.