MoL4uN87 Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 По ходу у всех этот вирус! У меня сегодня утром вылез. Перезагрузка не помогает Здравствуйте! Дополняю тему: 1. Установил и проверил компьютер KVRT.exe (Вирус обнаружен, удаление и перезагрузка от программы не помогли). 2. Запустил AutoLogger-test.exe 3. Прикрепил логи. CollectionLog-2018.07.28-11.27.zip
thyrex Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Выполните скрипт в AVZ из папки Autologger begin RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8583902'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8419845'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5105162'); DeleteFile('C:\Users\vovam\AppData\Roaming\ubistlzcppk\lfupjx2pvlu.exe','32'); DeleteFile('C:\Users\vovam\AppData\Roaming\icxejtau0gg\gbda4q1webm.exe','32'); DeleteFile('C:\Users\vovam\AppData\Roaming\nlvvqln33km\rof4ljdnfkb.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\curl','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\curls','x64'); DeleteFile('C:\Users\vovam\AppData\Roaming\curl\curl_7_54.exe','64'); DeleteFile('C:\Users\vovam\AppData\Roaming\curl\curl.exe','64'); DeleteFile('C:\ProgramData\WindowsMenu\westat.exe','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\QuickLaunch','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Starter','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\Поиcк в Интeрнете Updater','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
MoL4uN87 Опубликовано 29 июля, 2018 Автор Опубликовано 29 июля, 2018 (изменено) Прикрепил новые логи. CollectionLog-2018.07.29-18.33.zip Изменено 29 июля, 2018 пользователем MoL4uN87
thyrex Опубликовано 29 июля, 2018 Опубликовано 29 июля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 29 июля, 2018 Опубликовано 29 июля, 2018 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation) HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation) HKU\S-1-5-21-604094974-1358568366-1256874379-1000\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation) Toolbar: HKU\S-1-5-21-604094974-1358568366-1256874379-1001 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193160 2018-07-09] (Nice Pulle Science and Technology Ltd.) C:\WINDOWS\System32\drivers\powzip.sys 2018-07-15 00:18 - 2018-07-15 00:25 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2018-07-15 00:18 - 2018-07-15 00:25 - 000000004 _____ C:\ProgramData\lock.dat 2018-07-15 00:18 - 2018-07-15 00:18 - 000000004 _____ C:\Users\Все пользователи\irw.flle 2018-07-15 00:18 - 2018-07-15 00:18 - 000000004 _____ C:\ProgramData\irw.flle 2018-07-15 00:04 - 2018-07-15 08:37 - 000000000 ____D C:\Users\Все пользователи\Voyasollam 2018-07-15 00:04 - 2018-07-15 08:37 - 000000000 ____D C:\ProgramData\Voyasollam 2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\423d800c-6d71-1 2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\423d800c-2d53-0 2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\423d800c-6d71-1 2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\423d800c-2d53-0 2018-07-15 00:04 - 2018-07-15 00:04 - 007631872 _____ C:\Users\vovam\AppData\Local\agent.dat 2018-07-15 00:04 - 2018-07-15 00:04 - 001988316 _____ C:\Users\vovam\AppData\Local\K-Sanit.tst 2018-07-15 00:04 - 2018-07-15 00:04 - 000126464 _____ C:\Users\vovam\AppData\Local\noah.dat 2018-07-15 00:04 - 2018-07-15 00:04 - 000070896 _____ C:\Users\vovam\AppData\Local\Config.xml 2018-07-15 00:04 - 2018-07-15 00:04 - 000005568 _____ C:\Users\vovam\AppData\Local\md.xml 2018-07-15 00:04 - 2018-07-15 00:04 - 000000000 ____D C:\Users\Public\Documents\XMUpdate 2018-07-15 00:03 - 2018-07-23 23:56 - 000000000 ____D C:\Users\vovam\AppData\Local\WhiteClick 2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\1b8f14fe-42c7-1 2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\1b8f14fe-0e31-0 2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\1b8f14fe-42c7-1 2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\1b8f14fe-0e31-0 2018-07-15 00:03 - 2018-07-15 00:03 - 000929792 _____ C:\Users\vovam\AppData\Local\sham.db 2018-07-15 00:03 - 2018-07-15 00:03 - 000140800 _____ C:\Users\vovam\AppData\Local\installer.dat 2018-07-15 00:03 - 2018-07-15 00:03 - 000016080 _____ C:\Users\vovam\AppData\Local\InstallationConfiguration.xml 2018-07-15 00:03 - 2018-07-15 00:03 - 000000000 ____D C:\WINDOWS\IObit 2018-07-15 00:02 - 2018-07-25 12:07 - 000000000 ____D C:\Users\vovam\AppData\Roaming\ddrmerylmgf 2018-07-15 00:02 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu 2018-07-15 00:02 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\WindowsMenu 2018-07-15 00:02 - 2018-07-15 00:23 - 000003038 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (vovam) 2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\Users\vovam\AppData\LocalLow\IObit 2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\ProgramData\IObit 2018-07-15 00:02 - 2018-07-15 00:02 - 000000000 ____D C:\Users\vovam\AppData\Local\Hostinstaller 2018-07-15 00:01 - 2018-07-15 00:17 - 000000000 ____D C:\Users\vovam\AppData\Local\XService 2018-07-15 00:01 - 2018-07-15 00:01 - 000000003 _____ C:\Users\vovam\AppData\Local\wbem.ini 1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\YiskEkYf.exe CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> No File ContextMenuHandlers1: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat Elements\ContextMenuShim64.dll -> No File ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File Task: {3FEA1C4E-193D-43DD-BC27-C9459D5B7F7F} - \Microsoft\Windows\Starter -> No File <==== ATTENTION Task: {4393AE0C-FFB2-4E6F-9CC4-9F5E437C59B3} - \curls -> No File <==== ATTENTION Task: {51E56A8F-A0DE-436B-9D97-B7F274F086DF} - \Поиcк в Интeрнете Updater2 -> No File <==== ATTENTION Task: {9321B4AD-600F-48F1-AB8A-7C6CB1B9169B} - \Microsoft\QuickLaunch -> No File <==== ATTENTION Task: {A5DA2B05-1216-408F-A4A4-C0C96C69CDF9} - System32\Tasks\Driver Booster SkipUAC (vovam) => C:\Program Files (x86)\IObit\Driver Booster\5.5.1\DriverBooster.exe Task: {C467B9E5-245C-4CE5-B893-5236C1F110A6} - \Поиcк в Интeрнете Updater -> No File <==== ATTENTION Task: {C78DD609-052C-4BC9-A4B0-2DB9FAB03AB4} - \curl -> No File <==== ATTENTION Task: {F4500958-3611-440E-8733-575F19C682C7} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "QIPApp" HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "5105162" HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "8419845" HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "8583902" HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "9836859" FirewallRules: [{6A23A4E7-A62E-44C5-8140-C6DD7E5A3017}] => (Allow) C:\WINDOWS\HUeuOY.exe FirewallRules: [{AA7B4576-1037-47AE-9A6E-EF799E5F5678}] => (Allow) C:\Program Files (x86)\Common Files\YiskEkYf.exe FirewallRules: [{2C80DE3D-F6AD-435B-B7D2-736733E7CA59}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe FirewallRules: [{7D7EFC74-544A-4DCF-82B5-74038F9C9B34}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe FirewallRules: [{5EF8F09C-4E1E-47CF-ADE1-634EBD28C79D}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe FirewallRules: [{78B42947-5A56-4C6F-8259-28F23F71DF0D}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe C:\ProgramData\WindowsMenu Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
MoL4uN87 Опубликовано 29 июля, 2018 Автор Опубликовано 29 июля, 2018 (изменено) Прикрепил. Fixlog.txt Изменено 29 июля, 2018 пользователем MoL4uN87
thyrex Опубликовано 29 июля, 2018 Опубликовано 29 июля, 2018 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти