thyrex Опубликовано 12 апреля, 2018 Опубликовано 12 апреля, 2018 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
АMA Опубликовано 12 апреля, 2018 Автор Опубликовано 12 апреля, 2018 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 12.04.2018 19:58:30 Path starting: C:\Users\USER\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: USER VersionXML: 4.94is-11.04.2018 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419) Дата установки ОС: 01.06.2013 11:55:35 Статус лицензии: Windows® 7, HomePremium edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe Системный диск: C: ФС: [NTFS] Емкость: [68.3 Гб] Занято: [56.7 Гб] Свободно: [11.6 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18015 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя включен (Уровень 3) Уведомлять о загрузке и установке обновлений Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2010 x86 v.14.0.7015.1000 ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Internet Security (включен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Kaspersky Internet Security (включен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Internet Security (включен и обновлен) Windows Defender (включен и устарел) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Secure Connection v.17.0.0.611 Kaspersky Internet Security v.17.0.0.611 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.50 (64-bit) v.5.50.0 7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ OpenOffice.org 3.4 v.3.4.9590 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Viber v.6.8.2.878 -------------------------------- [ Java ] --------------------------------- Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^ Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^ Java 7 Update 51 v.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe). --------------------------- [ AdobeProduction ] --------------------------- Adobe Shockwave Player + Authorware Web Player v.v11.6.4.634 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player. Adobe Reader X (10.1.2) - Russian v.10.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Я.Браузер v.18.1.1.839 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.65.0.3325.181 Opera 12.14 v.12.14 Внимание! Скачать обновления ----------------------------- [ EmailClient ] ----------------------------- Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком. Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком. --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.65.0.3325.181 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611 klvssbrigde64 (klvssbrigde64) - Служба остановлена C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643 Защитник Windows (WinDefend) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- MadLen.uCoz.coM Toolbar Внимание! Подозрение на Adware![/c
thyrex Опубликовано 12 апреля, 2018 Опубликовано 12 апреля, 2018 Выполните рекомендованное, в т.ч. и удаление MadLen.uCoz.coM Toolbar, и на этом закончим
АMA Опубликовано 15 апреля, 2018 Автор Опубликовано 15 апреля, 2018 Обнаружено МЕМ:Rootkit.Win64.EquationDrug.a Расположение: System Memory. Ничего не помогло
АMA Опубликовано 15 апреля, 2018 Автор Опубликовано 15 апреля, 2018 Прикрепила CollectionLog-2018.04.15-19.09.zip
thyrex Опубликовано 15 апреля, 2018 Опубликовано 15 апреля, 2018 В архиве не хватает логов. Переделывайте
regist Опубликовано 15 апреля, 2018 Опубликовано 15 апреля, 2018 В архиве не хватает логов. возможно та известная бага старого AVZ. @АMA, попробуйте собрать логи этой версией.
АMA Опубликовано 15 апреля, 2018 Автор Опубликовано 15 апреля, 2018 Вот CollectionLog-2018.04.15-19.57.zip
thyrex Опубликовано 15 апреля, 2018 Опубликовано 15 апреля, 2018 Выполните скрипт в AVZ begin ExecuteFile('schtasks.exe', '/delete /TN "{15CA0085-A5F4-48CD-AD85-C3C90CCFAC70}" /F', 0, 15000, true); DelBHO('{8dec4b69-27c4-405d-a37d-8d45c83f66ab}'); ExecuteSysClean; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.+ Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
АMA Опубликовано 15 апреля, 2018 Автор Опубликовано 15 апреля, 2018 Выполнила всё как вы сказали 1_2018-04-15_20-56-04.7z
regist Опубликовано 15 апреля, 2018 Опубликовано 15 апреля, 2018 1) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\JAVACPL.EXE delref F:\AUTORUN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.7.0_51\BIN\WSDETECT.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MADLEN.UCOZ.COM\TBMADL.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE delref D:\GAMES\DROID4X\DROID4XSERVICE.EXE delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7BF0D3199E-ABF8-4A1B-8602-BEEB5B938728%7D&GP=811014 delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BF403E7D4-C48C-4161-BDEA-103DF117A604%7D&GP=811014 delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX delref %SystemDrive%\USERS\USER\DOWNLOADS\THEWORTEX.EXE delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\PLUGIN2\NPJP2.DLL delref D:\PIRATES_LEGEND_OF_JACK_SPARROW\PIRATESLOJS.EXE delref %SystemDrive%\GAMES\MINECRAFT - PIRATES OF THE CARIBBEAN\PLAY CRACKED.EXE apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. 3) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. 4) https://support.kaspersky.ru/12407 Эта настройка включена? Если нет включите.
АMA Опубликовано 16 апреля, 2018 Автор Опубликовано 16 апреля, 2018 Вроде так ClearLNK-2018.04.16_17.08.50.log AdwCleanerS00.txt
regist Опубликовано 16 апреля, 2018 Опубликовано 16 апреля, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти