Перейти к содержанию

вирус шифровальщик

XBoOoMeR
 Поделиться

Рекомендуемые сообщения

XBoOoMeR

XBoOoMeR

Опубликовано
Опубликовано

У меня зашифрованы все данные. сообщение от мошенника:

Внимание! Все Ваши файлы зашифрованы!

Чтобы восстановить свои файлы и получить к ним доступ,
отправьте письмо на почту avastvirusinfo@yandex.ru с текстом "Имя пароля расшифровки: x2Hzqz8YKTjyeKs6Oiz7CzQQ"
 
 
Файлы прикрепить не могу они странного форматаю вот ссылка на яндекс диск: https://yadi.sk/d/kHcsqKLWnjkh3w
XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано

данный вирус изменил файлы: приложения, ярлыки на файлы формата ink. Лог прилагается

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2018.09.18-23.32.zip

SQ

SQ

Опубликовано
Опубликовано (изменено)

Здравствуйте,

Удалите Advanced SystemCare, Iobit, WebCompanion через установку и удаления программ в панели управления.

 

1. HiJackThis (из каталога autologger)профиксить

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinUrl.url    ->    file:///C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}\services_update.exe
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase0Sync: (no name) - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase1Modified: (no name) - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase2Error: (no name) - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase3Shared: (no name) - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: {219BE923-4598-DC41-C621-EE8429B45257} - C:\WINDOWS\fAdIVYogveoV.exe /q /i http://seweing.org/uzsuuwmbejrm.fwh
O22 - Task: {7E6F69FE-958A-F12B-F751-3BFFB1C6DC11} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://addfleshitem.com/cl/?guid=3ameko94zmkcuhg3wvabniye1whhheka&prid=1&pid=4_1400_207
O22 - Task: {B7719069-F5D3-05E0-5C7E-175810D46E8E} - C:\WINDOWS\SysWOW64\UXYJpEouuO.exe /q /i http://seweing.org/vzeisrw4ts8n.ugy

2. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

3. Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Изменено пользователем regist
XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано

Я могу открывать приложения при помощи горяч. Клавиш но не могу через ярлыки, формат файлов .ink.2x************ (*- рандомная заглавная буква англ. Алфавита)

SQ

SQ

Опубликовано
Опубликовано

Удалите Driver Booster через установку программ в панели управления.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Wallpaper Engine\wallpaper32.exe
HKLM-x32\...\Run: [] => [X]
Zip: d:\Temp\9X8ghiTJt2CR6nw.exe;C:\Program Files (x86)\FileToNet\FileToNet.exe;C:\Users\user\Downloads\legitbyjeembo.json;C:\ProgramData\Iostream.exe;C:\ProgramData\olly.exe;C:\ProgramData\System Idle.exe;C:\ProgramData\SystemIdle.exe;C:\Users\user\OOyiaqTAfO.exe;C:\Users\user\UaARAEoNygs.exe;C:\Users\user\VBEbt.exe;C:\Users\user\WNoP.exe;C:\Program Files (x86)\sKuiakjiUDjg.exe;C:\Program Files (x86)\Common Files\EHTYbONo.exe;C:\Program Files (x86)\Common Files\IZyZEjNY.exe;C:\Program Files (x86)\Common Files\noXyyX.exe;C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe;C:\Users\user\AppData\Roaming\iSEaMfelGYky.exe;C:\Users\user\AppData\Roaming\Bot.exe;C:\Users\user\AppData\Roaming\Nvidiadriver.exe;C:\Users\user\AppData\Local\ArRiwPmpZWh.exe;C:\Users\user\AppData\Local\gauuoEKYkEdL.exe;C:\Users\user\AppData\Local\lOnMvEA.exe;C:\Users\user\AppData\Local\uUXiOealGPtb.exe;C:\Programdata\RealtekHD\taskhostw.exe;C:\WINDOWS\IXAYOnApqaNUD.exe
File: d:\Temp\9X8ghiTJt2CR6nw.exe
HKLM-x32\...\Run: [Alcmeter] => d:\Temp\9X8ghiTJt2CR6nw.exe [16398 2018-07-06] () <==== ATTENTION
File: C:\Program Files (x86)\FileToNet\FileToNet.exe
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinUrl.url -> URL: file:///C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}\services_update.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
Startup: C:\Users\siden\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
R3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\drivers\Monitor_win10_x64.sys [X]
S4 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
Folder: C:\WINDOWS\{89182E96-71ED-4D26-B5D2-741AE64872C6}
2018-09-13 18:46 - 2018-09-13 18:46 - 000003172 _____ C:\WINDOWS\System32\Tasks\Driver Booster Scheduler
2018-09-13 18:26 - 2018-09-13 18:26 - 020279352 _____ (IObit ) C:\Users\user\Downloads\driver_booster_setup.exe
Folder: C:\WINDOWS\{A21F4E57-F38C-48A6-AA94-D8812D42C37A}
File: C:\Users\user\Downloads\legitbyjeembo.json
Folder: C:\Users\user\AppData\Roaming\dll 2.0
Folder: C:\WINDOWS\{05B91DDD-6208-4D5A-8C72-928939559F4E}
Folder: C:\WINDOWS\{EB47D3E9-14CE-4BE0-B16B-C061571F46C7}
Folder: C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}
Folder: C:\ProgramData\{8070ce78-4926-aa8a-987e-9119a540eff7}
Folder: C:\ProgramData\{342fdfef-4750-8e3b-be1e-3d0e9abe7e27}
2018-09-06 18:23 - 2018-09-13 18:46 - 000002930 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (user)
Folder: C:\ProgramData\{312198cf-5741-3103-16a2-b494e5719ecd}
Folder: C:\ProgramData\{947b020d-27f1-393f-15fa-8eb0ff150346}
Folder: C:\ProgramData\{0f0be5f5-bcd6-ad5e-c918-e8b9e1f5055b}
Folder: C:\ProgramData\{77108e76-6d9f-3f7f-eb97-ba898bd3cad0}
2018-09-19 07:12 - 2018-05-17 15:27 - 000000000 ____D C:\Users\user\AppData\Roaming\IObit
2018-09-18 16:01 - 2018-05-17 15:27 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
Folder: C:\Users\user\AppData\Roaming\mgyun
Folder: C:\Users\user\AppData\Roaming\wget
Folder: C:\ProgramData\WindowsTask
Folder: C:\ProgramData\Windows
Folder: C:\ProgramData\RealtekHD
Folder: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
Folder: C:\ProgramData\{7F40DE3E-8294-4E24-B2EA-80F6C6BB173C}
2018-09-18 16:00 - 2018-05-24 07:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2018-09-18 16:00 - 2018-05-17 15:39 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
2018-09-18 16:00 - 2018-05-17 15:28 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-09-18 16:00 - 2018-05-17 15:28 - 000000000 ____D C:\ProgramData\ProductData
2018-09-18 16:00 - 2018-05-17 15:27 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-09-18 16:00 - 2018-05-17 15:27 - 000000000 ____D C:\ProgramData\IObit
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\Iostream.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\olly.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ (Twain Working Group) C:\ProgramData\System Idle.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\SystemIdle.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\OOyiaqTAfO.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\UaARAEoNygs.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\VBEbt.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\WNoP.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\sKuiakjiUDjg.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\EHTYbONo.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\IZyZEjNY.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\noXyyX.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000178688 ____N (Microsoft Corporation) C:\Users\user\AppData\Roaming\iSEaMfelGYky.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 ___SH () C:\Users\user\AppData\Roaming\Bot.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 ___SH () C:\Users\user\AppData\Roaming\Nvidiadriver.exe
2018-07-10 22:14 - 2018-07-06 17:17 - 000000207 _____ () C:\Users\user\AppData\Roaming\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\ArRiwPmpZWh.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\gauuoEKYkEdL.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\lOnMvEA.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\uUXiOealGPtb.exe
2018-07-10 22:14 - 2018-07-06 17:17 - 000000207 _____ () C:\Users\user\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {1BBBB926-487F-4777-8919-2E23B6D18DB9} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {676461B8-F098-4363-B5C5-968FBD73CFF6} - \{97ADDB80-B16F-C6F2-3926-18299F33453C} -> No File <==== ATTENTION
Task: {7E792CD9-B6CB-480E-910A-46FC9C485456} - System32\Tasks\{7E6F69FE-958A-F12B-F751-3BFFB1C6DC11} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://addfleshitem.com/cl/?guid=3ameko94zmkcuhg3wvabniye1whhheka&prid=1&pid=4_1400_207
Task: {815561D9-724E-4BED-86D5-84B313AA7762} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [2018-07-24] (IObit)
Task: {947D3BE7-5A38-46D4-83DF-7E192B76487D} - \WinUrl -> No File <==== ATTENTION
Task: {9BD8F663-933F-4FE7-9C0F-79A4109FC9D6} - \{219BE923-4598-DC41-C621-EE8429B45257} -> No File <==== ATTENTION
Task: {C5EFCA90-2830-4CCC-B57F-AA6A9FD07072} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe [2018-07-18] (IObit)
Task: {C98FF5F1-84AA-4AF7-B965-6FD7C764E4AC} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe
C:\Programdata\RealtekHD\taskhostw.exe
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [138]
AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [138]
FirewallRules: [{5FD80D09-16E6-4574-8D85-6A89F6201143}] => (Allow) C:\WINDOWS\IXAYOnApqaNUD.exe
FirewallRules: [{D90ABF9F-3833-49F6-B576-DAE4E07C5AD4}] => (Allow) C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe
FirewallRules: [{6D8233A1-7245-43A8-B00D-1D0D972D772B}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe
FirewallRules: [{E7EC716F-9BCB-4048-939D-42AD8C51011C}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe
FirewallRules: [{C0058F4D-A6CC-47D8-98FE-A2E9F97A09E1}] => (Allow) C:\Users\user\AppData\Local\lOnMvEA.exe
FirewallRules: [{D77FEAE8-4B1F-4CD3-903F-484B1E241087}] => (Allow) C:\Users\user\OOyiaqTAfO.exe
FirewallRules: [{282302AD-4FE1-4C4B-8714-BFF1A578E897}] => (Allow) C:\Users\user\WNoP.exe
FirewallRules: [{062396F6-38BB-4075-B435-134FBF5E1427}] => (Allow) C:\Program Files (x86)\Common Files\EHTYbONo.exe
FirewallRules: [{58B53086-5AFD-44FF-A57C-2A13233B27B3}] => (Allow) C:\Program Files (x86)\Common Files\IZyZEjNY.exe
FirewallRules: [{8077199E-BC84-47B8-A974-D757950CED7D}] => (Allow) C:\Users\user\UaARAEoNygs.exe
FirewallRules: [{6F349DF5-5947-4DB7-83D0-5940CDF93FBA}] => (Allow) C:\Users\user\AppData\Local\ArRiwPmpZWh.exe
FirewallRules: [{48BCE4C1-FAC1-4EB5-9B3D-00E8CD7D558A}] => (Allow) C:\WINDOWS\IbgRyF.exe
FirewallRules: [{96489818-5E60-4BBB-90B8-6E0B2AD0CE7F}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{BAD10B92-CD05-4EAA-AB06-300ABF5936C1}] => (Allow) C:\WINDOWS\fAdIVYogveoV.exe
FirewallRules: [{969CFF12-59E3-46DE-ADFC-636770D6155C}] => (Allow) C:\WINDOWS\SysWOW64\UXYJpEouuO.exe
FirewallRules: [{A832954C-6483-4191-B787-8C235D3345F3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D22C33FF-12E8-47CB-97D4-3FED6DEEEA62}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FCCBE4BF-DF86-4EB7-982E-8F6D48042B2B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F2DA4C25-F289-430F-93CB-5FDA9030DD72}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1D6479B8-9772-459A-8DAE-916DE1E7E052}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{367B8E9E-310A-41B3-8B52-3B67F4A95FF6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{5F11A691-7162-474F-95C7-BD1E0A528938}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{59BA9A35-7AE9-4D26-BE82-AE45509128F4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CCD7A466-1715-4B35-B7D4-57F2DF023C7A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E5D88717-82BC-4352-BA88-C9736FDE412E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6AA2B417-F14A-41BB-9D99-B5A8CD5692A2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{9213DA6B-E0CF-4D35-AB01-EC482AB87BD5}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6F83459E-8E51-47F3-9AE6-1B69D8752420}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{7A466E5A-6D0F-4776-AAFB-E383D4049E44}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{442C2363-BA6F-4D99-BB6E-8277C64A4C4D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E86D3D12-19E5-4507-A25D-106BC7A94EEE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{87158722-DC95-4A58-AFBC-59FAC8550877}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FEBF080F-F2CE-47AF-A6DC-8F14F74DAA80}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{9FB43E97-CDF7-44BF-9421-D0052AAC2DAD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0D10F186-AC3D-4816-9786-7A8000542392}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C1C05FB7-98F7-4216-BED6-FD1C5E63F729}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B9BBE3D7-D7B7-43FF-A3CE-D036101F02E3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{050FA967-720D-44F3-9FB4-C17BF4D0312C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{764BFBC4-42B2-4E1F-BF5D-F116F3FCD6F6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{396945D1-D0EA-4BC7-81D7-2454BA567C78}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0F135DC8-85EC-4392-8107-5249C789E841}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B3FE29CA-5B28-4E36-9219-0D6F70CA0E80}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F249F2E2-3657-4D68-ACB2-CDA1781E87F2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1381AEEE-9B38-4449-A622-7394F77C122D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C765C30C-FD8B-4A88-A183-202F8125F8D9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B26E92BB-E7D5-42B0-8A2A-E8EC586567D3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AF42C286-5555-4D31-B3D1-701D0948D938}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D830C9D9-0C1C-4ED9-AAB0-887F7F73A335}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D59F0A1F-9478-4304-8C0B-677841534220}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{D48473E9-0CA5-475D-B5C0-20313D7D8C3F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{41EFC67A-70FF-4805-98D6-42A71F3F687D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{B4508401-391A-4E45-A64A-988F9CFAD626}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{8F5AD2B6-67F2-426D-B67B-B5F4CF120C2F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{292D8383-A472-4FE2-866B-DA8BC861520B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{49535A0F-92C2-4896-BB3E-E6C478FEA8F0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{584A49C8-AD9B-4DA9-8940-17FA4C6FE05A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{259402E3-07E1-464A-820A-713C97DA255A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{6A62FB6F-4283-44AF-BB01-6B1560990E93}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A1BDFC5F-28B0-4BD4-91CB-A13A0E6BB6DA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0E3FAB7D-A179-405B-9A43-71006CABC8BE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CD6ED207-1873-4772-883C-8BC75216FCB3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{68E5D09A-2A04-4766-A020-78D0437FB0F0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{49C457FB-22D1-4C26-947D-C5D1522ECBE6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{2179E711-5CB7-40F1-8C03-A6CCB2465ACD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FC3B978A-B292-497A-B2C6-D58DA6A39E7C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C6CEC093-EA3B-4E1C-A9C5-9C81AB135106}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FA3FD5BF-DC14-42A0-8F1A-D4CD4FA789E3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{45CBCC25-DE9F-42C4-855C-CBC2B73E6BC7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{41066A73-42A2-4F15-8DA8-02047C74361A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{47879365-CFCA-494B-B7A1-50F1851F35C8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C354ED40-225A-4D23-A644-A72EAE7193CB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A393B7BA-555D-42E2-ADE7-6BB58B9DD617}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D5D60DBD-4C0C-42ED-BE60-C3267C3976D7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{171127E9-B6F2-4D40-9F52-0097AE2A8A55}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B22224A4-EC50-4523-92B0-E0B850482C4B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{3B56E28E-19D0-49E8-B55B-FECF326FFCE4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AE4D810B-D62E-47B5-B04B-73F5D4879839}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{703011B6-F6B1-44F0-BE25-8AC4076FCA09}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{3F711582-3798-4BA0-B3D1-9D3D9E6DD22E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{41CDF402-FE62-4860-AD18-CA815D8B657C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{23034188-428B-478A-96EA-50CBD96EB9E9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E2EE09B2-3B2F-4980-AA23-F98D796A3AC6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{64E0F06E-30B4-491C-B973-92C349DDF0B8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DF4C5F51-B8EB-40F0-8898-8DACE6A17887}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C0B5FB68-DF3E-43B8-8558-0CF645D6D11F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CB2E4D8C-5242-4C59-B81D-3BB6ACE3DAC9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{8B4676D7-E114-42F3-8473-289A09B1B1DD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CE9FE786-4A77-4F5D-96E5-94D8A4CC8416}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{EA3CC434-BCAA-410B-82F2-E9015D4F62A0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{311807A4-F778-462A-B2C5-CDECBEAEAEEE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{38870355-C5AC-4164-BCEC-81C9A7787772}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DF85A280-053D-4780-AA5C-4451580332AF}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{2B391035-ACE4-4DC2-A6F6-B4CCE298024E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{18690410-001D-4B75-8E54-936FFA38FEE8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AA9F9BC1-3138-4B66-877B-3BD3D9FF7725}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A75A0EC1-E818-403F-A45B-412B16C674B8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{EC44C4D4-9059-43E8-BB3A-673EA38FFEBB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{30C19F11-27A8-48AD-8CFB-2BABAC800704}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{68B37C88-B9D5-4518-B5A5-09613EB59704}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F2FF4131-F569-4F7A-BCE9-D84D0FAAB1A4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано (изменено)

я все сделал, файл прилагается

Fixlog.txt

Изменено пользователем XBoOoMeR
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
d:\Temp\9X8ghiTJt2CR6nw.exe
Zip: C:\Users\user\AppData\Roaming\wget\wget_1_19_4.exe;C:\ProgramData\Windows\install.vbs;C:\ProgramData\Windows\vp8decoder.dll;C:\ProgramData\Windows\vp8encoder.dll
C:\ProgramData\WindowsTask
C:\Users\user\AppData\Roaming\wget
C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}
C:\ProgramData\{8070ce78-4926-aa8a-987e-9119a540eff7}
C:\ProgramData\{342fdfef-4750-8e3b-be1e-3d0e9abe7e27}
C:\ProgramData\{312198cf-5741-3103-16a2-b494e5719ecd}
C:\ProgramData\{947b020d-27f1-393f-15fa-8eb0ff150346}
C:\ProgramData\{0f0be5f5-bcd6-ad5e-c918-e8b9e1f5055b}
C:\ProgramData\{77108e76-6d9f-3f7f-eb97-ba898bd3cad0}
C:\WINDOWS\{89182E96-71ED-4D26-B5D2-741AE64872C6}
C:\WINDOWS\{A21F4E57-F38C-48A6-AA94-D8812D42C37A}
C:\WINDOWS\{05B91DDD-6208-4D5A-8C72-928939559F4E}
C:\WINDOWS\{EB47D3E9-14CE-4BE0-B16B-C061571F46C7}
C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
C:\ProgramData\Windows
C:\ProgramData\RealtekHD
C:\ProgramData\{7F40DE3E-8294-4E24-B2EA-80F6C6BB173C}
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

regist

regist

Опубликовано
Опубликовано

@XBoOoMeR, +

удалите скачанный Автологер и созданную им папку. Скачайте свежую версию (он успел обновился). И ещё раз попробуйте собрать им логи.

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...