Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрение на вирус

Gluki

Автор Gluki
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Gluki

Gluki

Опубликовано
Опубликовано

Всем доброго дня.

 

Касперским прошелся, почистилось, но кажется, что хвосты остались :( 

Посмотрите все ли ок, или предчувствия не напрасные.

CollectionLog-2018.05.22-17.22.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{1B2639A9-EE25-4AE7-A2E3-B308F08125C4}');
 DeleteService('pfnfd_1_10_0_8');
 DeleteService('BDSafeBrowser');
 DeleteService('4587E8BC38BF736E');
 DeleteService('bd0002');
 SetServiceStart('BDSGRTP', 4);
 DeleteService('BDSGRTP');
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.570\baiduprotect.exe');
 DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.570\baiduprotect.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\DriverManager.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\BDMReport.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\BDMNet.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.570\ad.dll','32');
 DeleteFile('c:\users\пользователь\appdata\local\temp\880F172D-13E3A6F8-8A4B1884-6C36C705\1453cf6f.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\drivers\pfnfd_1_10_0_8.sys','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4791\WebGuardBHO.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422856097&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EP84306443064&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422856097&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EP84306443064&q={searchTerms}
HKU\S-1-5-21-1414267509-4271436637-2317496604-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=054c656cedb3136e9eb6f77f775c9431&text={searchTerms}
HKU\S-1-5-21-1414267509-4271436637-2317496604-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=054c656cedb3136e9eb6f77f775c9431&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=054c656cedb3136e9eb6f77f775c9431&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=054c656cedb3136e9eb6f77f775c9431&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=054c656cedb3136e9eb6f77f775c9431&text=
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422856097&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EP84306443064"
C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcnhkahnjcbndmmehfkdnkjomaanaooo
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_7643_d9.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_CA9E_53.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_927F_59.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{144e696e-5d45-49b9-94bd-507f7462eb84}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A7E2_81.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{14907176-a345-4151-b06e-26b478cc1c0b}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_3A44_139.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{1a87d67b-23d3-4b8f-9f9b-7cd30c1c95bd}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A7E2_81.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{2438686b-f92e-4a29-8cc4-1c50ddea5370}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_10C2_160.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{2FC86A70-8E1C-4CA3-A13F-D0F5E98C392F}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{3139de55-4560-4239-9330-2230f9b89929}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A7E2_81.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_7643_d9.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{4556AD24-A0A8-4D3B-95CD-B93FBDFD0DAD}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{4f1b22bd-d850-49dc-85e2-779718d46a50}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_3A44_139.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{555AB111-EABD-4F80-AEE8-E01BF2551970}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_CA9E_53.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_CA9E_53.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{58abd29a-67fe-4564-a68b-75fa4de065c6}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_3A44_139.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A266_190.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A266_190.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_CA9E_53.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_648C_1b7.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_927F_59.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{6c8fcdeb-4c19-4d24-92e1-81ffc888ae3e}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_10C2_160.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{6d05bf60-3eaf-4a97-87c5-10cce505435b}\localserver32 -> C:\Users\73B5~1\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_648C_1b7.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_7643_d9.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_7643_d9.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{767f9370-451a-43b0-b590-d32f7b1e5f8c}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A7E2_81.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A266_190.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_927F_59.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{86002F38-B7C3-48C2-AEFD-6BC409D250F7}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{92FDEF05-B35E-4806-B87F-8B66AB649997}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_648C_1b7.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{9F0BF664-B611-4C53-AEEA-FDBFCE6E3CA3}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{a12ffdf7-199d-4469-8c20-98a3de73ed2c}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A7E2_81.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{a3a3bb2f-5146-4131-a266-e87bf7a4b5b1}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_3A44_139.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{A49B4692-F945-474E-97EC-7F1DF4292E30}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_648C_1b7.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_7643_d9.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{A8BD93E8-F6AE-4F02-828D-DE47FEC4D375}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A266_190.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{AD4409E5-23C2-412B-849D-8FC0635B4073}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{AEE9D70C-6C9E-4B27-9F2C-8F14E95BEEF6}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{B6DD4549-4191-415E-A0AF-0B50434ABF39}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_A266_190.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_927F_59.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_927F_59.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{d95168b2-4440-4150-8161-b3ed0d69be17}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_10C2_160.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{DD20920E-515A-4342-85E3-FC9A9FDA55C2}\localserver32 -> "C:\Users\Пользователь\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_648C_1b7.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{E7E7DC0E-50B2-4869-8491-0E96AF274531}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\Sbis3SDK_3_6_2.dll => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{eba2954f-14b8-4b9a-ae85-cc874a1bbb34}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_3A44_139.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_CA9E_53.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{fcc0de38-1341-430b-b063-69e0dc2114ab}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_10C2_160.tmp => No File
CustomCLSID: HKU\S-1-5-21-1414267509-4271436637-2317496604-1000_Classes\CLSID\{feebf6ac-dd33-43ed-864a-a4cd547a8f37}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Temp\v8_10C2_160.tmp => No File
Task: {6A47CE4E-EE06-4DF7-99AB-F86A1614F079} - no filepath
Task: {12B67F63-2562-4E02-BC1A-C6063ADE498A} - no filepath
AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa [178]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\122BA21A.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\92758200.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\122BA21A.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\92758200.sys => ""="Driver"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Напоследок

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Gluki

Gluki

Опубликовано
  • Автор
Опубликовано

Добрый день.

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 28.05.2018 19:38:09
Path starting: C:\Users\Пользователь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ganina
VersionXML: 5.07is-22.05.2018
___________________________________________________________________________
 
Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 06.05.2013 11:36:11
Статус лицензии: Windows® 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe
Системный диск: C: ФС: [NTFS] Емкость: [232.8 Гб] Занято: [73.9 Гб] Свободно: [158.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18977 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2018-05-28 00:07:02
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2003 v.11.0.8173.0
Microsoft Office 2007 v.12.0.6612.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
360 Total Security (включен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
360 Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
360 Total Security v.9.6.0.1367
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 10 v.10.0.93450 Внимание! Скачать обновления
WinRAR 5.00 бета 4 (32-разрядная) v.5.00.4 Внимание! Скачать обновления
TeamViewer 10 (TeamViewer) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 29 ActiveX v.29.0.0.171
Adobe Flash Player 29 NPAPI v.29.0.0.171
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.181
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.66.0.3359.181
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба работает
360 Total Security (QHActiveDefense) - Служба работает
C:\Program Files\360\Total Security\safemon\QHActiveDefense.exe v.10.0.0.1000
C:\Program Files\360\Total Security\safemon\QHWatchdog.exe v.8.2.0.1000
C:\Program Files\360\Total Security\safemon\QHSafeTray.exe v.9.2.0.1084
----------------------------- [ End of Log ] ------------------------------
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • aminjik
      Подозрение на вирусы после проверки
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...