SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) логи FRST.txt Addition.txt Изменено 30 октября, 2018 пользователем SQ Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [360Safetray] => [X] HKLM\...\Run: [ QQPCTray] => [X] HKLM\...\Run: [RavTRAY] => [X] HKLM\...\Run: [RISTRAY] => [X] HKLM\...\Run: [kxesc] => [X] HKLM\...\Run: [KVMON] => [X] HKLM\...\Run: [ShStatEXE] => [X] HKLM\...\Run: [McAfeeUpdaterUI] => [X] HKLM\...\Run: [KVXP] => [X] File: C:\Windows\system32\s File: C:\Windows\system32\ps File: C:\Windows\system32\p Zip: C:\Windows\system32\s;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system\downs.exe;C:\ProgramData\winn.bat;C:\Users\Public\Documents\AutoRunApp.vbs;C:\Windows\system32\win.bat;C:\ProgramData\deskeyg.exe;C:\ProgramData\flashb.exe;C:\ProgramData\flashc.exe;C:\ProgramData\max.exe;C:\ProgramData\SQLEXPRESS_X64_86.exe;C:\ProgramData\winn.bat;C:\ProgramData\winn.dat;C:\Program Files\pps.temp;C:\Program Files\pss.temp File: C:\Windows\system\downs.exe Folder: C:\ProgramData\Licenses Folder: C:\Users\Public\Windows File: C:\Windows\system32\win.bat File: C:\ProgramData\deskeyg.exe File: C:\ProgramData\max.exe File: C:\ProgramData\SQLEXPRESS_X64_86.exe File: C:\ProgramData\winn.bat File: C:\ProgramData\winn.dat File: C:\Program Files\pps.temp File: C:\Program Files\pss.temp Task: {D1415BD7-EC82-47B4-8F22-BBCFFD09EA41} - \Mysa1 -> No File <==== ATTENTION Task: {FCC5CAFA-DFE5-4C3B-8426-021FA3B0ECF2} - no filepath Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Лог Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Zip: C:\Users\Public\Windows\start.bat;C:\Users\Public\Windows\start.vbs 2018-06-14 07:45 - 2018-06-14 08:52 - 000002582 _RASH [DA28BC109781B1E130FE169BBD54F33F] () C:\Users\Public\Windows\start.bat 2018-06-14 07:46 - 2018-06-14 07:46 - 000000139 _RASH [C92A932E625325FA3B62D9CA390D6AD7] () C:\Users\Public\Windows\start.vbs C:\Users\Public\Windows C:\Program Files\pss.temp C:\Program Files\pps.temp 2018-10-29 17:11 - 2018-10-29 17:26 - 000000081 _____ C:\Windows\system32\s 2018-10-29 17:11 - 2018-10-29 17:26 - 000000079 _____ C:\Windows\system32\ps 2018-10-29 17:11 - 2018-10-29 17:26 - 000000077 _____ C:\Windows\system32\p C:\Windows\system\downs.exe 2018-10-13 21:09 - 2018-10-13 21:09 - 000000101 _____ C:\Users\Все пользователи\winn.bat 2018-10-13 21:09 - 2018-10-13 21:09 - 000000101 _____ C:\ProgramData\winn.bat 2018-10-13 21:09 - 2018-10-13 21:09 - 000000084 _____ C:\Users\Все пользователи\winn.dat 2018-10-13 21:09 - 2018-10-13 21:09 - 000000084 _____ C:\ProgramData\winn.dat 2018-10-01 22:37 - 2018-10-01 22:37 - 000000645 ____H C:\Users\Public\Documents\AutoRunApp.vbs C:\Windows\system32\win.bat C:\ProgramData\deskeyg.exe C:\ProgramData\max.exe C:\ProgramData\SQLEXPRESS_X64_86.exe C:\ProgramData\winn.bat C:\ProgramData\winn.dat Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Лог Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Приложите пожалуйста новые логи утилиты FRST (FRST.txt и Addition.txt), для того чтобы убедиться, что вредоносного ПО не осталось. P.S. карантин отправлен [KLAN-9022050065], [KLAN-9022111609] ожидайте ответа по ним. Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Приложите пожалуйста новые логи утилиты FRST (FRST.txt и Addition.txt), для того чтобы убедиться, что вредоносного ПО не осталось. P.S. карантин отправлен [KLAN-9022050065], [KLAN-9022111609] ожидайте ответа по ним. Вирус на том же месте... Скрин Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: 2018-10-26 16:26 - 2018-10-26 16:26 - 000000000 _____ C:\Windows\system32\Tmp6FE9.tmp Folder: C:\Windows\Web File: C:\Users\Public\Documents\xpHelpPane.exe Zip: C:\Users\Public\Documents\xpHelpPane.exe;C:\Program Files\Common Files\xpdown.dat;C:\Windows\system32\wpd.xml;C:\Windows\system32\wpd1.xml 2018-10-29 16:38 - 2018-06-05 10:43 - 000000073 _____ C:\Windows\system32\wpd1.xml 2018-10-29 16:38 - 2018-06-05 02:43 - 000000073 _____ C:\Windows\system32\wpd.xml 2018-10-29 17:27 - 2018-07-03 10:46 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat 2018-10-01 22:34 - 2018-09-29 14:54 - 000000078 _____ C:\Users\Public\Documents\xpHelpPane.exe 2018-07-06 00:30 - 2018-07-06 00:30 - 000000000 _____ () C:\ProgramData\deskeyfa.exe 2018-07-25 01:59 - 2018-07-29 20:08 - 000000000 _____ () C:\ProgramData\flashb.exe 2018-07-31 16:23 - 2018-07-31 20:02 - 000000000 _____ () C:\ProgramData\flashc.exe 2018-07-06 00:30 - 2018-07-06 00:30 - 000000000 _____ () C:\Users\Все пользователи\deskeyfa.exe 2018-07-25 01:59 - 2018-07-29 20:08 - 000000000 _____ () C:\Users\Все пользователи\flashb.exe 2018-07-31 16:23 - 2018-07-31 20:02 - 000000000 _____ () C:\Users\Все пользователи\flashc.exe 2018-07-03 10:46 - 2018-10-29 17:27 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat 2018-04-27 14:31 - 2018-04-27 14:31 - 000056080 _____ (Microsoft Corporation) C:\Users\Пользователь\AppData\Local\Temp\CABINET.DLL Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Не помогло... Лог. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 проблема проявляется сразу после загрузке Windows? Загрузите пожалуйста карантин. Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Сообщите также пожалуйста в локальной сети присутствуют еще какие-то компьютеры? Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Перегружаю комп, запускаю каспера с проверкой основных зон, и сразу выдает это сообщение что выше на скрине... На данный момент комп один в сети, причем в другой сети. BASE_2018-10-30_20-19-21_v4.1.1.7z Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Выполните скрипт в uVS: ;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG zoo %SystemDrive%\AUTOEXEC.BAT zoo %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\KPCENGINE.2.2.DLL zoo %Sys32%\APPEND.EXE zoo %Sys32%\FTP.EXE zoo %SystemDrive%\USERS\PUBLIC\MUSIC\POWERED.EXE delref WMI_.[FUCKYOUMM_FILTER] delref WMI_.[FUCKYOUMM2_FILTER] restart папку ZOO заархивируйте пожалуйста в zoo.zip из папки uVS загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Во вложении Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Во вложении Вложение пустое. Пожалуйста не прикладывайте только карантин во вложение, используйте пожалуйста специальную форму. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти