regist 617 Опубликовано 28 января, 2018 Share Опубликовано 28 января, 2018 Снова повторите логи по правилам, на этот раз попробуйте из обычного режима. Это не сделали. + проверьте в безопасном режиме с сетью тоже не грузится? Если в него загрузится, то из него Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. если не получится, то хотя бы из обычного безопасного. как вы считаете, может быть не отвлекать ваше время на мою проблему и я просто отключу все диски и оставлю только системный снесу систему format C, про инсталлирую заново Windows 7 и по одному подключу диски обратно и все ? и не надо со мной мучатся... Вы итак потратили на меня столько своего личного времени считаю, что пока стоит попробовать удалить вирусню. Если потом это упрётся в системные проблемы, то может действительно будет проще переустановить. Цитата Ссылка на сообщение Поделиться на другие сайты
Kirill_Mihailov 0 Опубликовано 28 января, 2018 Автор Share Опубликовано 28 января, 2018 (изменено) из прошлого сообщения: ваш вопрос: Снова повторите логи по правилам, на этот раз попробуйте из обычного режима.Это не сделали. мой ответ: логи из нормального режима сделать не могу так как снова вылетает синий экран Все было сделано из безопасного режима так как в остальных режимах все тот же синий экран. После первого скана AwdCleaner было найдино 70 файлов и там ьыла функция Remove them я нажал ремув и он попросил рестарт AwdCleaner[s0].txt я запустил еще раз после рестарта AwdCleaner было найдино 17 файлов я нажал ремув и он попросил рестарт AwdCleaner[s1].txt я запустил еще раз после рестарта AwdCleaner было найдино 7 файлов AwdCleaner[s2].txt Новые логи с АвтоЛоггера из безопастного режима и отчеты из AwdCleaner AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt CollectionLog-2018.01.28-15.03.zip Изменено 28 января, 2018 пользователем Kirill_Mihailov Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 января, 2018 Share Опубликовано 28 января, 2018 (изменено) там ьыла функция Remove them я нажал ремув поторопились. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\runSW.exe', ''); QuarantineFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', ''); QuarantineFileF('C:\Users\Editing\AppData\Local\Optimizer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '32'); QuarantineFileF('C:\ProgramData\Voyasollam\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\Voyasollam\', '*', true); DeleteDirectory('C:\ProgramData\Voyasollam\'); QuarantineFileF('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*', true); DeleteDirectory('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\'); ExecuteFile('schtasks.exe', '/delete /TN "{0B0B0847-0A08-080B-0F11-0E040E7F110F}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_GA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_RI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_XT" /F', 0, 15000, true); DeleteFileMask('C:\Users\Editing\AppData\Local\Optimizer\', '*', true); DeleteDirectory('C:\Users\Editing\AppData\Local\Optimizer\'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4-32 - HKLM\..\RunOnce: [NIS] = C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\562C4DD5\21.6.0.32\InstStub.exe /RELAUNCH /RUNONCE /NOPROMPT /PRODID NIS (file missing) O18 - Protocol: WSISVCUchrome - {78A543EB-3A61-4ED3- - (no file) O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Fixtop.dll (file missing) O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Tempdom.dll (file missing) O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing) O22 - Task: AVGPCTuneUp_Task_BkGndMaintenance - C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe $(Arg0) (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_GA - C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\chipset.exe exec hide BPNXAIKFVL.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_JY - C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428\chipset.exe exec hide FQSLEKBOIJ.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_LE - C:\ProgramData\cbee0ef5288e4e77919b2355ace09139\chipset.exe exec hide HUHJMNHRKR.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_RI - C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_XT - C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250\chipset.exe exec hide OWQGSBNMLL.cmd (file missing) O22 - Task: {7273A591-29AC-4C1C-8A4C-BCDEF3873ABE} - c:\program files (x86)\mozilla firefox\firefox.exe https://ui.skype.com/ui/0/7.30.80.105/en/abandoninstall?page=tsMain (file missing) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Изменено 28 января, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Kirill_Mihailov 0 Опубликовано 28 января, 2018 Автор Share Опубликовано 28 января, 2018 (изменено) пожалуйста. Поправка, вы добавили скрипт... тогда я сделаю заново так как когда я прочитал и сделал FRST64 scan скпирта еще не было в сообщение там ьыла функция Remove them я нажал ремув поторопились. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\runSW.exe', ''); QuarantineFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', ''); QuarantineFileF('C:\Users\Editing\AppData\Local\Optimizer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '32'); QuarantineFileF('C:\ProgramData\Voyasollam\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\Voyasollam\', '*', true); DeleteDirectory('C:\ProgramData\Voyasollam\'); QuarantineFileF('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*', true); DeleteDirectory('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\'); ExecuteFile('schtasks.exe', '/delete /TN "{0B0B0847-0A08-080B-0F11-0E040E7F110F}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_GA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_RI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_XT" /F', 0, 15000, true); DeleteFileMask('C:\Users\Editing\AppData\Local\Optimizer\', '*', true); DeleteDirectory('C:\Users\Editing\AppData\Local\Optimizer\'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4-32 - HKLM\..\RunOnce: [NIS] = C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\562C4DD5\21.6.0.32\InstStub.exe /RELAUNCH /RUNONCE /NOPROMPT /PRODID NIS (file missing) O18 - Protocol: WSISVCUchrome - {78A543EB-3A61-4ED3- - (no file) O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Fixtop.dll (file missing) O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Tempdom.dll (file missing) O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing) O22 - Task: AVGPCTuneUp_Task_BkGndMaintenance - C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe $(Arg0) (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_GA - C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\chipset.exe exec hide BPNXAIKFVL.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_JY - C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428\chipset.exe exec hide FQSLEKBOIJ.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_LE - C:\ProgramData\cbee0ef5288e4e77919b2355ace09139\chipset.exe exec hide HUHJMNHRKR.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_RI - C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd (file missing) O22 - Task: GoogleUpdateSecurityTaskMachine_XT - C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250\chipset.exe exec hide OWQGSBNMLL.cmd (file missing) O22 - Task: {7273A591-29AC-4C1C-8A4C-BCDEF3873ABE} - c:\program files (x86)\mozilla firefox\firefox.exe https://ui.skype.com/ui/0/7.30.80.105/en/abandoninstall?page=tsMain (file missing) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. пожалуйста: 4 файла и KLAN - 7574813517 FRST.txt Addition.txt Shortcut.txt Addition.txt FRST.txt Shortcut.txt HiJackThis.log Изменено 28 января, 2018 пользователем Kirill_Mihailov Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 января, 2018 Share Опубликовано 28 января, 2018 1) На всякий случай создайте точку восстановления системы. 2) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden Task: {A7A62992-8484-4D2B-B3C9-4758ACD2E01A} - System32\Tasks\{0B0B0847-0A08-080B-0F11-0E040E7F110F} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgADsAOwA7ADsAIAA7ADsAOwA7ADsAIAA7ADsAOwAgACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (the data entry has 10068 more characters). <==== ATTENTION Task: {E6B5EBF5-E4AC-4BF3-BAB4-DFF59C879594} - System32\Tasks\GoogleUpdateSecurityTaskMachine_RI => C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:0888F409 [136] AlternateDataStreams: C:\ProgramData\TEMP:3440EB47 [836] AlternateDataStreams: C:\ProgramData\TEMP:93433455 [346] HKU\S-1-5-21-4112138521-197969892-887820644-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION FirewallRules: [{677CA663-D4B1-4488-87A3-5FCDEC47CF9A}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{EE3C113E-BC08-4053-A063-F1C9816B5978}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{4903816B-432D-4106-8D91-9FD740EBDBFA}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{495FEBBA-45BD-4936-880A-429B7C7A8D05}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{D3B251E9-F86A-4AF6-89C9-190FB720F322}] => (Allow) C:\Windows\System32\rundll32.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: J - J:\setup.exe HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {027d60fe-fa09-11e7-a7d3-382c4ab80646} - N:\Autoplay.exe -auto HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {198ed154-829b-11e5-a1c7-806e6f6e6963} - H:\setup.bat HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {525808e4-f0d1-11e5-9630-382c4ab80646} - J:\Lenovo_Suite.exe HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {5ba81aff-827b-11e5-91a2-ea82673893f8} - D:\MAXON-Start.exe HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {5ba81f7b-827b-11e5-91a2-ea82673893f8} - I:\Autoplay.exe -auto HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {8158b26b-8954-11e5-8e18-c5571dea8ed1} - D:\Lenovo_Suite.exe HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {da34fd89-daa6-11e5-8599-8b53dc477aa3} - F:\Launcher\LAUNCHER.EXE HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {de4a0414-53e8-11e7-af5d-382c4ab80646} - J:\autorun.exe GroupPolicy: Restriction <==== ATTENTION SearchScopes: HKLM-x32 -> DefaultScope value is missing SearchScopes: HKU\S-1-5-21-4112138521-197969892-887820644-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={9E7672AE-B43F-481E-B67D-B243D9447193}&mid=2655843ab48647ccb2183bcb21dc7a0b-ffdbbf9dbe204d0522c614e2c64737d04c83c2e5&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0517tb&pr=fr&d=2015-11-15 23:44:56&v=4.3.8.510&pid=wtu&sg=&sap=dsp&q={searchTerms} FF NewTab: Mozilla\Firefox\Profiles\i43fva3q.default -> C:\\ProgramData\\Voyasollams\\ff.NT FF Extension: (Quick Searcher) - C:\Users\Editing\AppData\Roaming\Mozilla\Firefox\Profiles\i43fva3q.default\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2018-01-26] FF Extension: (AVG SafePrice) - C:\Users\Editing\AppData\Roaming\Mozilla\Firefox\Profiles\i43fva3q.default\Extensions\sp@avg.com.xpi [2016-11-15] FF Extension: (No Name) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-26] [not signed] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] OPR Extension: (Quick Searcher v16.2) - C:\Users\Editing\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-01-26] "pkrknwci" => service could not be unlocked. <==== ATTENTION R5 pkrknwci; <==== ATTENTION: Locked Service 2018-01-26 19:09 - 2018-01-26 19:09 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign95b29f1d7eed8185 2018-01-26 19:09 - 2018-01-26 19:09 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign884aad1100690c66 2018-01-26 17:03 - 2018-01-26 17:03 - 000000000 ____D C:\Program Files (x86)\EIVqbhZCU 2018-01-26 17:00 - 2018-01-26 17:23 - 000000000 ____D C:\Program Files (x86)\OahiAhLMPlKqC 2018-01-26 17:00 - 2018-01-26 17:04 - 000000004 _____ C:\ProgramData\lock.dat 2018-01-26 17:00 - 2018-01-26 17:01 - 000000000 ____D C:\Users\Editing\AppData\LocalLow\vAsGIBGZzEJsN 2018-01-26 17:00 - 2018-01-26 17:00 - 000000004 _____ C:\ProgramData\rwi.hhad 2018-01-26 16:59 - 2018-01-26 17:23 - 000000000 ____D C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR 2018-01-26 16:59 - 2018-01-26 17:04 - 000000000 ____D C:\Program Files (x86)\AMLyRCNlUIEopfmumesuq 2018-01-26 16:59 - 2018-01-26 16:59 - 001980483 _____ C:\Users\Editing\AppData\Local\TreeTam.tst 2018-01-26 16:59 - 2018-01-26 16:59 - 001895381 _____ C:\Users\Editing\AppData\Local\Tiplight.bin 2018-01-26 16:59 - 2018-01-26 16:59 - 001815552 _____ (TODO: <Company name>) C:\Users\Editing\AppData\Local\TreeTam.exe 2018-01-26 16:59 - 2018-01-26 16:59 - 000860160 _____ C:\Windows\dfa394d8f6f20ce365a0a6ecee1841ec.dll 2018-01-26 16:59 - 2018-01-26 16:59 - 000278510 _____ C:\Users\Editing\AppData\Local\Zamsing.bin 2018-01-26 16:59 - 2018-01-26 16:59 - 000140800 _____ C:\Users\Editing\AppData\Local\installer.dat 2018-01-26 16:59 - 2018-01-26 16:59 - 000126464 _____ C:\Users\Editing\AppData\Local\noah.dat 2018-01-26 16:59 - 2018-01-26 16:59 - 000070800 _____ C:\Users\Editing\AppData\Local\Config.xml 2018-01-26 16:59 - 2018-01-26 16:59 - 000024460 _____ C:\Windows\System32\Tasks\{0B0B0847-0A08-080B-0F11-0E040E7F110F} 2018-01-26 16:59 - 2018-01-26 16:59 - 000005568 _____ C:\Users\Editing\AppData\Local\md.xml 2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Windat 2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Users\Editing\AppData\Roaming\q3mn5n3zox5 2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Program Files\H43WCJZ8T8 2018-01-26 16:58 - 2018-01-26 18:47 - 000000000 ____D C:\ProgramData\618c8dc847d44c6da069e6dafa3416c2 2018-01-26 16:58 - 2018-01-26 17:13 - 000000000 ____D C:\Users\Editing\AppData\Roaming\75befb835c724ce6b9f544dabf0162de 2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\Users\Editing\AppData\Local\bc9817f1c6ba4738ada21de4f15c61a2 2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\cbee0ef5288e4e77919b2355ace09139 2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428 2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250 2018-01-26 11:26 - 2018-01-26 11:26 - 000710656 _____ C:\Windows\0cfcb02e6e03353a4fc3ef64492d3539.exe 2018-01-24 07:31 - 2018-01-24 07:31 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign22f2dbb613d564ab 2018-01-23 20:22 - 2018-01-23 20:22 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsigndd09bc40194f4bd0 2018-01-23 13:31 - 2018-01-23 13:31 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign6bee183b500af491 2018-01-22 13:58 - 2018-01-22 13:58 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign106b75e6fa07e1f6 2018-01-22 13:34 - 2018-01-22 13:34 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignc21ce6c544d17c54 2018-01-22 12:23 - 2018-01-22 12:23 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign6700b8330e0131d1 2018-01-22 11:37 - 2018-01-22 11:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign7c2c32cab7e0f57a 2018-01-22 11:32 - 2018-01-22 11:32 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignac6a0f0b08f7ed94 2018-01-22 11:11 - 2018-01-22 11:11 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignd05788bf5bcb03b4 2018-01-17 00:53 - 2018-01-17 00:53 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign39689cb94d444050 2018-01-17 00:23 - 2018-01-17 00:23 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignc3f89614e962807d 2018-01-16 14:54 - 2018-01-16 14:54 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign1c4273a9ed815c17 2018-01-15 15:45 - 2018-01-15 15:45 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign3f6ead3975369d0c 2018-01-02 18:37 - 2018-01-02 18:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignf2419c28609d4106 2018-01-02 18:37 - 2018-01-02 18:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign5e4babbc685bf714 2018-01-26 16:59 - 2018-01-26 16:59 - 000126464 _____ () C:\Users\Editing\AppData\Local\noah.dat C:\Windows\system32\drivers\dqwjxitg.sys -> Access Denied <======= ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 3) bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden деинсталируйте эти две программы. 4) Проверьте в обычным или хотя бы в безопасном с сетью не стало грузиться? Цитата Ссылка на сообщение Поделиться на другие сайты
Kirill_Mihailov 0 Опубликовано 28 января, 2018 Автор Share Опубликовано 28 января, 2018 (изменено) простите что это за программы ? bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hiddenph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden и большой код надо было вставлять в FRST64 и нажимать Fix ? (я сделал так) попробовал загрузить в нормальном и в безопасном режиме с сетью все без изменений, синий экран Fixlog.txt Изменено 28 января, 2018 пользователем Kirill_Mihailov Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 января, 2018 Share Опубликовано 28 января, 2018 простите что это за программы ? слева названия то есть bl и ph. и большой код надо было вставлять в FRST64 и нажимать Fix ? (я сделал так) Нет никуда вставлять его не надо было Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Программа сама бы из буфера вставила его куда надо. Но судя по отчёту у вас правильно отработало. Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Kirill_Mihailov 0 Опубликовано 28 января, 2018 Автор Share Опубликовано 28 января, 2018 Дорогой мой helper я к сожалению не знаю вашего имени и по этому не могу обираться официально... я не выдержал и вырвал все диски оставил системный сделал загрузочную и сейчас инсталлирую 7... не знаю на сколько это правильно по отношению к вашему труду но я просел по графику очень сильно... работа стоит и я как на иголках так что я принял решение формат и все по новой сам дурак что по не внимательности нажал на вирус и только украл у вас время. Прошу за это прощения. Скажите мне пожалуйста как я могу вас отблагодарить за потраченное время ? Спасибо вам ОГРОМНОЕ за ваше терпение личное время и желание помочь! п.с. если после сноса системы сново выскочит синей экран я дам знать при любом раскладе дам знать. Спасибо вам еще раз. (жду квитанции за вашу работу) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.