Перейти к содержанию
Правила раздела

Поймал вирус

Мишаня

Автор Мишаня
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','');
 DeleteService('saiyitechnology');
 QuarantineFile('C:\ProgramData\yahoochrome_D\desktop114.exe','');
 SetServiceStart('RManService', 4);
 DeleteService('RManService');
 TerminateProcessByName('c:\programdata\windows\rutserv.exe');
 QuarantineFile('c:\programdata\windows\rutserv.exe','');
 DeleteFile('c:\programdata\windows\rutserv.exe','32');
 DeleteFile('C:\ProgramData\yahoochrome_D\desktop114.exe','64');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\TermService\Parameters','ServiceDll','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 38
  • Создана
  • Последний ответ

Топ авторов темы

  • Мишаня

    19

  • thyrex

    17

  • regist

    2

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

regist
regist

дело, не в этом. Он его прямо из архива запускает.@Мишаня, 1) Прочитайте внимательно правила создания логов. 2) Прочитали бы хотя бы что вам пишет Автологер перед как вы подтвердите закрытие. Он же

Мишаня
Мишаня

вот что вы просили   Строгое предупреждение от модератора "Mark D. Pearlstone" Думайте о том, что пишите и как называете файлы.     ( у меня просто зип был лишний на рабочем столе с таки

Мишаня Постоялец

Мишаня

Опубликовано
  • Автор
Опубликовано (изменено)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. 

 

это типо AutoLogger-test снова скачивать и уже новый запускать?

 

и ещё кое что у меня папка карантин не зип а именно папка

Изменено пользователем Мишаня
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Зачем скачивать заново, если я прошу просто запустить еще раз Autologger_test.exe?
 
Про карантин: файл c:\quarantine.zip есть на компьютере? Если есть, его и нужно отправить по указанной мною ссылке

Ссылка на комментарий
Поделиться на другие сайты
Мишаня Постоялец

Мишаня

Опубликовано
  • Автор
Опубликовано (изменено)

Файл сохранён как 181007_085032_quarantine_5bb9c8d8c7574.zip

это шо?

 

и помоему AVZ мне вирус удалил

Изменено пользователем Мишаня
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Мишаня Постоялец

Мишаня

Опубликовано
  • Автор
Опубликовано (изменено)

вот что вы просили

 

Строгое предупреждение от модератора "Mark D. Pearlstone"
Думайте о том, что пишите и как называете файлы.

 

 

( у меня просто зип был лишний на рабочем столе с таким названием)

новое говнецо.zip

Изменено пользователем thyrex
  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

FastDataX 1.20

Maskit

MediaGet

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {A98ED802-9C09-49BE-8F3E-52D7C150EB35} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\AppData:CSM [466]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\63387933.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76220261.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76505705.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\63387933.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76220261.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76505705.sys => ""="Driver"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
HKU\S-1-5-21-414518449-1595253805-1245480986-1001\...\StartupApproved\Run: => "uBar"
HKU\S-1-5-21-414518449-1595253805-1245480986-1001\...\StartupApproved\Run: => "Browser Manager"
HKU\S-1-5-21-414518449-1595253805-1245480986-1001\...\StartupApproved\Run: => "MailRuUpdater"
HKU\S-1-5-21-414518449-1595253805-1245480986-1001\...\StartupApproved\Run: => "MediaGet2"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
CHR HKU\S-1-5-21-414518449-1595253805-1245480986-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fppjhfcgnalgfiimdflmikpifodndljf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbnhehnpnbiioheicppmmmjaekcdfigc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ikpcpgklmefncbfgbdifkaphbaapgafh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\lblbnlfhhblmfconjalikamamlgoobbe
OPR Extension: (ScriptMonkey) - C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable\Extensions\lblbnlfhhblmfconjalikamamlgoobbe [2018-07-29]
S3 TermService; C:\WINDOWS\System32\svchost.exe [51288 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\WINDOWS\SysWOW64\svchost.exe [44520 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-10-06 10:58 - 2018-10-07 11:27 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2018-10-06 10:58 - 2018-10-07 11:27 - 000000000 __SHD C:\ProgramData\RealtekHD
2018-10-06 10:58 - 2018-10-07 11:27 - 000000000 __SHD C:\Program Files\RDP Wrapper
2018-10-06 10:58 - 2018-10-07 11:16 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2018-10-06 10:58 - 2018-10-07 11:16 - 000000000 __SHD C:\ProgramData\RunDLL
2018-10-06 10:58 - 2018-10-06 11:52 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2018-10-06 10:58 - 2018-10-06 11:52 - 000000000 __SHD C:\ProgramData\Doctor Web
2018-10-06 10:58 - 2018-10-06 11:25 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2018-10-06 10:58 - 2018-10-06 11:25 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-10-06 10:58 - 2018-10-06 10:59 - 000000000 __SHD C:\rdp
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Windowsdata
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\windowsnode
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\WindowsDefender
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\SysWOW64\xmr64
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\SysWOW64\xmr
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\SysWOW64\hs
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\SysWOW64\hhsm
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\rss
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\min
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\hs_module
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\WINDOWS\hhsm
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\WindowsSQL
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\windowsdriver
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Windowsdata
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\tiser
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\System32
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\prefssecure
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Norton
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\MicrosoftCorporation
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Install
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Framework
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\ESET
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\DriversI
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Driver Foundation Visions VHG
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\DirectX11b
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\Cefunpacked
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\AudioHDriver
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\360safe
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\Все пользователи\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\windowshelper
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\windowscore
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\WindowsApps
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\Windows_x64_nheqminer-5c
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\systemprocess
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\systemcare
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\system
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\Sysfiles
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\syscore
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\Svcms
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\subdir
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\SIVapp
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\setupsk
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\RuntimeServices
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\performance
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\NSCPUCNMINER
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\microsoft software
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\kyubey
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\kryptex
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\isminer
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\intel
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\gplyra
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\GoogleSoftware
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\crmsvc
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\coretempapp
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\bvhost
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\AudioHDriver
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Roaming\app
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\xpon
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\xmarin
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\wupdate
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\wmipr
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\unityp
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\syslog
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\PCBooster
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\packagest
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\monotype
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\kara
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\initwin
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\generictools
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\geckof
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\FileSystemDriver
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\comdev
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 __SHD C:\Users\USER\AppData\Local\AMD
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 ____D C:\Users\Все пользователи\Indus
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 ____D C:\Users\Все пользователи\Avira
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 ____D C:\ProgramData\Indus
2018-10-06 10:58 - 2018-10-06 10:58 - 000000000 ____D C:\ProgramData\Avira
2018-10-06 10:23 - 2018-10-06 18:15 - 000000000 ____D C:\Program Files (x86)\Maskit
2018-10-06 09:42 - 2018-10-06 09:42 - 000000000 ____D C:\Users\Все пользователи\ByteFence
2018-10-06 09:42 - 2018-10-06 09:42 - 000000000 ____D C:\ProgramData\ByteFence
2018-10-05 23:44 - 2018-10-06 10:23 - 000000000 __SHD C:\Program Files\ByteFence
2018-10-05 23:44 - 2018-10-05 23:44 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware
2018-10-05 23:43 - 2018-10-06 16:33 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2018-10-05 23:43 - 2018-10-06 16:33 - 000000000 __SHD C:\ProgramData\McAfee
2018-08-10 12:02 - 2009-07-14 03:14 - 000031232 ___SH () C:\ProgramData\cpsvchost.exe
2018-04-12 19:59 - 2018-04-12 19:59 - 000000004 _____ () C:\ProgramData\lock.dat
2018-08-10 12:02 - 2009-07-14 03:14 - 000031232 ___SH () C:\Users\Все пользователи\cpsvchost.exe
2018-04-12 19:59 - 2018-04-12 19:59 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\gcoveox.exe
16681-06-15 11:07 - 16681-06-15 11:07 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\kkwER.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\KmYiugueUia.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\wfrAxha.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000060416 ____N (Microsoft Corporation) C:\Program Files (x86)\zETHaaNI.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\NEEeeXP.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Мишаня Постоялец

Мишаня

Опубликовано
  • Автор
Опубликовано (изменено)

Вот что надо прикрепить один txt или  всё в зип перетащить и отправить?

Изменено пользователем Мишаня
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У меня сомнения в том, внимательно ли Вы читаете. Написано по-русски, какой файл нужно прикрепить к следующему сообщению в теме - Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Папки

2018-10-06 13:13 - 2018-10-06 13:13 - 000000000 ____D C:\ProgramData\s7lc

2018-10-06 13:12 - 2018-10-06 13:12 - 000000000 ____D C:\ProgramData\s5ik

2018-10-06 13:12 - 2018-10-06 13:12 - 000000000 ____D C:\ProgramData\s538

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\sdcg

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\scug

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\s958

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\s7u0

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\s7hg

2018-10-06 13:11 - 2018-10-06 13:11 - 000000000 ____D C:\ProgramData\s61s

Вам известны?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Folder: C:\ProgramData\WindowsSQL
Folder: C:\ProgramData\windowsdriver
Folder: C:\ProgramData\Windowsdata
Folder: C:\ProgramData\tiser
Folder: C:\ProgramData\System32
Folder: C:\ProgramData\prefssecure
Folder: C:\ProgramData\Norton
Folder: C:\ProgramData\MicrosoftCorporation
Folder: C:\ProgramData\Kaspersky Lab Setup Files
Folder: C:\ProgramData\Kaspersky Lab
Folder: C:\ProgramData\Install
Folder: C:\ProgramData\grizzly
Folder: C:\ProgramData\Framework
Folder: C:\ProgramData\ESET
Folder: C:\ProgramData\DriversI
Folder: C:\ProgramData\Driver Foundation Visions VHG
Folder: C:\ProgramData\DirectX11b
Folder: C:\ProgramData\Cefunpacked
Folder: C:\ProgramData\AudioHDriver
Folder:C:\ProgramData\360safe
Folder: C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
Folder: C:\Program Files\SpyHunter
Folder: C:\Program Files\Malwarebytes
Folder: C:\Program Files\Kaspersky Lab
Folder: C:\Program Files\ESET
Folder: C:\Program Files\Enigma Software Group
Folder: C:\Program Files\COMODO
Folder: C:\Program Files\Cezurity
Folder: C:\Program Files\AVG
Folder: C:\Program Files (x86)\SpyHunter
Folder: C:\Program Files (x86)\Panda Security
Folder: C:\Program Files (x86)\Kaspersky Lab
Folder: C:\Program Files (x86)\GRIZZLY Antivirus
Folder: C:\Program Files (x86)\Cezurity
Folder: C:\Program Files (x86)\AVG
Folder: C:\Program Files (x86)\AVAST Software
Folder: C:\Program Files (x86)\360
Folder: C:\disk
Folder: C:\AdwCleaner
2018-09-21 15:40 - 2018-09-21 15:40 - 000000000 ____D C:\Users\USER\AppData\Roaming\c3e2c3
16681-06-15 11:07 - 16681-06-15 11:07 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\kkwER.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ruina
      [РЕШЕНО] Поймал вирусы, переименовались службы _bkp
      Автор ruina
      Добрый день. Прошу помощи, перCollectionLog-2025.05.22-12.57.zipеименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp
×
×
  • Создать...