Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Проверил и очистил программой  AdwCleaner (by Malwarebytes) 
Отчёт отправил .


Проверил и очистил второй раз программой  AdwCleaner (by Malwarebytes) 
Отчёт отправил .


Сканировал программой  Farbar Recovery Scan Tool 32-х разрядной версией.
Файлы отчёта отправляю.

AdwCleanerC01.zip

AdwCleanerC02.zip

FRST.zip

Addition.zip

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzOALRSj8hEsVc7UNFZ-RUAGy_a-bNuLAsIuVCLqHpQtPqwi_jgJOBbvk-apd15xDTm2GmFtjsA8r_OZrpdHMwB5zdtPN-eG1ADAGObI4ggMMx1oWRLJ9TxkuUNSUNi-vTNWmkHkqJqJeMkFkYWG9PCJZHTV3gU,
    CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=30&clid=1787308","hxxp://mail.yandex.ru/?win=30&clid=1787308","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://mail.ru/cnt/10445?gp=newcustom14","hxxp://mail.ru/cnt/10445?gp=801016","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=822313"
    C:\Users\DEXP\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk
    CHR HKU\S-1-5-21-3806478505-2790350921-288170587-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
    2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Все пользователи\!readme.txt
    2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Администратор\!readme.txt
    2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Public\Documents\!readme.txt
    2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\DEXP\!readme.txt
    2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\ProgramData\!readme.txt
    2018-11-27 12:11 - 2018-11-27 12:16 - 000000000 ____D C:\Users\DEXP\AppData\Local\9d2830cd-bc33-4a66-9796-99e6c39d7cf5
    2018-11-27 12:11 - 2018-11-27 12:11 - 000000049 _____ C:\Users\DEXP\AppData\Local\script.ps1
    2018-11-27 12:10 - 2018-12-03 12:15 - 000000000 ____D C:\Users\DEXP\AppData\Local\4f3a0f98-77b8-4cd0-a882-8f0e86d3ca5c
    2018-10-26 16:33 - 2018-10-26 16:33 - 000140800 _____ () C:\Users\DEXP\AppData\Local\installer.dat
    2018-10-26 16:39 - 2018-10-26 16:39 - 000005568 _____ () C:\Users\DEXP\AppData\Local\md.xml
    2018-10-26 16:39 - 2018-10-26 16:43 - 000126464 _____ () C:\Users\DEXP\AppData\Local\noah.dat
    2018-11-28 02:13 - 2018-11-28 02:15 - 000333824 _____ () C:\Users\DEXP\AppData\Local\Temp\11E3.tmp.exe
    2018-11-30 14:21 - 2018-11-30 14:21 - 000197376 _____ () C:\Users\DEXP\AppData\Local\Temp\72C9.tmp.exe
    2018-12-03 14:15 - 2018-12-03 14:15 - 000092160 _____ () C:\Users\DEXP\AppData\Local\Temp\8FB3.tmp.exe
    2018-11-26 09:31 - 2018-11-26 09:31 - 002532352 _____ (WC35SB0@) C:\Users\DEXP\AppData\Local\Temp\BH09J80V7PFV.exe
    2018-12-03 09:01 - 2018-12-03 09:01 - 000182784 _____ () C:\Users\DEXP\AppData\Local\Temp\C24D.tmp.exe
    2018-11-26 09:06 - 2018-11-26 09:06 - 000821760 _____ () C:\Users\DEXP\AppData\Local\Temp\rer.exe
    2018-11-26 09:32 - 2018-11-26 09:32 - 002532352 _____ (WC35SB0@) C:\Users\DEXP\AppData\Local\Temp\RPIRLJ1AKSFI.exe
    AlternateDataStreams: C:\Users\DEXP:.repos [6509764]
    AlternateDataStreams: C:\Users\DEXP\Dropbox:user.myxattr [0]
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "5888271"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "4299742"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "3249142"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "UVHBHQCY2T6K1IQ"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "XBPE81CXWGSXO20"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "LLVFT40PJ6WYHAE"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "1516574"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "5353063"
    HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "4909733"
    FirewallRules: [{C4A7DCBF-C88B-4DF3-B03E-5EDC94EA0150}] => (Allow) C:\WINDOWS\rss\csrss.exe
    FirewallRules: [{E0F33062-F028-4451-B387-A6FC67AFC938}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
    FirewallRules: [{B52A6005-CE13-47A4-8077-81405DC0E01A}] => (Allow) C:\WINDOWS\rss\csrss.exe
    FirewallRules: [{2A660CEB-16E2-4CC8-BC1C-EF3D3AAE136E}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
    FirewallRules: [{604A3341-8EFA-4F1E-BD51-46C2A777A237}] => (Allow) C:\WINDOWS\rss\csrss.exe
    FirewallRules: [{D8535C81-A8BD-4F58-BD2E-77BD91BB625F}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
    FirewallRules: [{40427318-0CDE-4141-BE47-8CECB4A98FA7}] => (Allow) C:\WINDOWS\rss\csrss.exe
    FirewallRules: [{F036DF9D-90F0-4294-979A-743524E1F826}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ок. Продолжу в понедельник.


Перестала работать клавиатура, пишу с помощью экранной клавиатуры.

Перезагрузка результата не дала.

Это так должно быть?

Ссылка на сообщение
Поделиться на другие сайты

Это так должно быть?

Нет.

Клавиатура USB или PS/2 ?

Можете проверить, подключив заведомо исправную?

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.1593.14393.0 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 62.0.3 (x86 ru) v.62.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
×
×
  • Создать...