Перейти к содержанию

Трояны и реклама


Рекомендуемые сообщения

Доброго времени суток.

Скачал программу, отключив антивирус. При установке программы в панели задач раз 40 самопроизвольно запустил установщик, завершение задачи через диспетчер ни к чему не привело.
После ручной перезагрузки через кнопку на системном блоке, в браузере InternetExplorer самопроизвольно начали открываться вкладки с различной рекламой со скоростью 1вкладка/10сек.
Появился дополнительный софт, который не должен был появиться: One System Care Cleanup Console, Launch One System Care, Foldershare.
Также периодически появляется надпись "система конфигурации не прошла инициализацию"
Из 4 установленных браузеров: Yandex, Chrome, Opera, IE открываются только двое последний
Не открывается антивирус KasperskyIn..Sec..

 

Далее Kaspersky Virus Removal Tool нейтрализовал около 100 объектов (запускал 4 раза, так как после вылеченных старых появлялись новые и процедура повторялась заново).
В одну из перезагрузок компьютера открылся KIS, который также нейтрализовал 10 объектов (быстрая проверка).
Dr Web нейтрализовал 15 объектов.
 

Логи прикрепляю

CollectionLog-2019.01.20-23.52.zip

Ссылка на сообщение
Поделиться на другие сайты
Ace Stream Media 3.1.16.1

Online Application

YoutubeAdBlock

 

удалите через Установку программ

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\CPG\744018390.exe','');
 QuarantineFile('C:\Program Files (x86)\CPG\315619854.exe','');
 QuarantineFile('C:\Program Files\NVIDIA Corporation\RRDS4L7OERFV9\_diJidQ9V5.exe','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 SetServiceStart('808BEC74', 4);
 DeleteService('808BEC74');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 QuarantineFile('c:\program files (x86)\multitimer\multitimer.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\cd288ta2fp\mka3.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\cd288ta2fp\mka3.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('c:\users\user\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\program files (x86)\onesystemcare\cleanupconsole.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\cd288ta2fp\mka3.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('808BEC74.sys','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FloralCloud','x32');
 DeleteFile('C:\Program Files\NVIDIA Corporation\RRDS4L7OERFV9\_diJidQ9V5.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_','x64');
 DeleteFile('C:\Program Files (x86)\CPG\315619854.exe','64');
 DeleteFile('C:\Program Files (x86)\CPG\744018390.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','ojhztosweuh','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','redaq3udqsc','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FloralCloud','x64');
 DeleteSchedulerTask('Online Application V2G1.job');
 DeleteSchedulerTask('Online Application V2G2.job');
 DeleteSchedulerTask('Online Application V2G3.job');
 DeleteSchedulerTask('Online Application V2G4.job');
 DeleteSchedulerTask('Online Application V2G5.job');
 DeleteSchedulerTask('Online Application V2G6.job');
 DeleteSchedulerTask('4cc2aeec-7d89-41bd-bc6a-8dca0da868cb');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('d025d1d3-664a-4702-afaf-b023f3d1ec50');
 DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','64');
 DeleteSchedulerTask('psv_Singlestock');
 DeleteFile('C:\ProgramData\Polygen\K-hold.reg','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Online Application - не находит его  в установке и в поиске

 

c:\quarantine.zip загрузил, ответ:

 

Файл сохранён как 190121_034508_quarantine_5c4540442e495.zip Размер файла 6342370 MD5 6965acf6ed1f51d4213b5a38491dae38

 

Новые логи прикрепляю

CollectionLog-2019.01.21-07.01.zip

Изменено пользователем alexanderexpert
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-2151500696-479059551-773766436-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYAbJxP0BnmRmQYD-x5yWDTxQcNBoYbPEfYGLt6-eGb5t3mu5HMEo3u-G-29emk1CeKpNV10Yo7tKcqqopRo7XtIDvdXUlC2P1c7SQGhRwY42sNPLIM1SqcitPW1ocx7J7otQFBDSaBDrVq7cB1pdUNvWuLG&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYAbJxP0BnmRmQYD-x5yWDTxQcNBoYbPEfYGLt6-eGb5t3mu5HMEo3u-G-29emk1CeKpNV10Yo7tKcqqopRo7XtIDvdXUlC2P1c7SQGhRwY42sNPLIM1SqcitPW1ocx7J7otQFBDSaBDrVq7cB1pdUNvWuLG&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2151500696-479059551-773766436-1002 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYAbJxP0BnmRmQYD-x5yWDTxQcNBoYbPEfYGLt6-eGb5t3mu5HMEo3u-G-29emk1CeKpNV10Yo7tKcqqopRo7XtIDvdXUlC2P1c7SQGhRwY42sNPLIM1SqcitPW1ocx7J7otQFBDSaBDrVq7cB1pdUNvWuLG&q={searchTerms}
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_161\bin\ssv.dll => No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_161\bin\jp2ssv.dll => No File
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_161\bin\ssv.dll => No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_161\bin\jp2ssv.dll => No File
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap
CHR HKU\S-1-5-21-2151500696-479059551-773766436-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2151500696-479059551-773766436-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2151500696-479059551-773766436-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2151500696-479059551-773766436-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2019-01-20 14:44 - 2019-01-20 17:43 - 000000000 ____D C:\Program Files\AJQWPX58KU
2019-01-20 14:44 - 2019-01-20 17:43 - 000000000 ____D C:\Program Files\A7T69RQE2Q
2019-01-20 14:44 - 2019-01-20 15:15 - 000000000 ____D C:\Users\User\AppData\Roaming\5vflfr0ds4u
2019-01-20 14:44 - 2019-01-20 15:15 - 000000000 ____D C:\Users\User\AppData\Roaming\02rwuyrudzk
2019-01-20 14:37 - 2019-01-20 15:15 - 000000000 ____D C:\Users\User\AppData\Roaming\wfjk2rapk3t
2019-01-20 14:37 - 2019-01-20 15:15 - 000000000 ____D C:\Program Files\HEDNQEK6BC
2019-01-20 14:37 - 2019-01-20 14:37 - 000000000 ____D C:\Users\User\AppData\Roaming\EpicNet Inc
2019-01-20 14:35 - 2019-01-20 17:43 - 000000000 ____D C:\Program Files\I4KKVSOUKL
2019-01-20 14:35 - 2019-01-20 15:21 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble
2019-01-20 14:35 - 2019-01-20 15:21 - 000000000 ____D C:\ProgramData\Logic Cramble
2019-01-20 14:35 - 2019-01-20 15:15 - 000000000 ____D C:\Users\User\AppData\Roaming\zphp44srg1s
2019-01-20 14:35 - 2019-01-20 14:35 - 000015602 _____ C:\Windows\SysWOW64\findit.xml
2019-01-20 14:34 - 2019-01-21 06:30 - 000000000 ___HD C:\Windows\rss
2019-01-20 14:34 - 2019-01-20 17:43 - 000000000 ____D C:\Program Files\I1YHZIZRJC
2019-01-20 14:34 - 2019-01-20 15:15 - 000000000 ____D C:\Users\User\AppData\Roaming\1rbp10zdxhb
2019-01-20 14:34 - 2019-01-20 15:12 - 000000000 ____D C:\Users\Все пользователи\{6D8E5988-46BC-817A-C45B-F90DC4BCA05C}
2019-01-20 14:34 - 2019-01-20 15:12 - 000000000 ____D C:\Users\Все пользователи\{56711939-060D-BA85-751B-063675FC5F67}
2019-01-21 06:07 - 2019-01-21 06:28 - 000000000 ____D C:\Users\Все пользователи\{C5A2EDA2-F296-2956-EEEF-D5A5EE088CF4}
2019-01-21 06:07 - 2019-01-21 06:28 - 000000000 ____D C:\Users\Все пользователи\{2811B6D3-A9E7-C4E5-9FB4-66489F533F19}
2019-01-21 06:07 - 2019-01-21 06:28 - 000000000 ____D C:\ProgramData\{C5A2EDA2-F296-2956-EEEF-D5A5EE088CF4}
2019-01-21 06:07 - 2019-01-21 06:28 - 000000000 ____D C:\ProgramData\{2811B6D3-A9E7-C4E5-9FB4-66489F533F19}
2019-01-20 23:32 - 2019-01-20 23:36 - 000000000 ____D C:\Users\Все пользователи\{F1D204F1-1BC5-1D26-BD06-A591BDE1FCC0}
2019-01-20 23:32 - 2019-01-20 23:36 - 000000000 ____D C:\Users\Все пользователи\{03989D70-8244-EF6C-3C9F-EF633C78B632}
2019-01-20 23:32 - 2019-01-20 23:36 - 000000000 ____D C:\ProgramData\{F1D204F1-1BC5-1D26-BD06-A591BDE1FCC0}
2019-01-20 23:32 - 2019-01-20 23:36 - 000000000 ____D C:\ProgramData\{03989D70-8244-EF6C-3C9F-EF633C78B632}
2019-01-20 22:22 - 2019-01-20 23:22 - 000000000 ____D C:\Users\Все пользователи\{A6F41AEF-05DB-4A00-A318-83C6A3FFDA97}
2019-01-20 22:22 - 2019-01-20 23:22 - 000000000 ____D C:\Users\Все пользователи\{287B7762-6856-C48F-2E75-0C482E925519}
2019-01-20 22:22 - 2019-01-20 23:22 - 000000000 ____D C:\ProgramData\{A6F41AEF-05DB-4A00-A318-83C6A3FFDA97}
2019-01-20 22:22 - 2019-01-20 23:22 - 000000000 ____D C:\ProgramData\{287B7762-6856-C48F-2E75-0C482E925519}
2019-01-20 21:59 - 2019-01-20 22:13 - 000000000 ____D C:\Users\Все пользователи\{FEB32ADA-35EE-1247-9628-C49E96CF9DCF}
2019-01-20 21:59 - 2019-01-20 22:13 - 000000000 ____D C:\Users\Все пользователи\{7E5409B5-1681-92A0-F90B-231EF9EC7A4F}
2019-01-20 21:59 - 2019-01-20 22:13 - 000000000 ____D C:\ProgramData\{FEB32ADA-35EE-1247-9628-C49E96CF9DCF}
2019-01-20 21:59 - 2019-01-20 22:13 - 000000000 ____D C:\ProgramData\{7E5409B5-1681-92A0-F90B-231EF9EC7A4F}
2019-01-20 17:58 - 2019-01-20 21:44 - 000000000 ____D C:\Users\Все пользователи\{2FF0C1E4-DED0-C304-A8C3-874FA824DE1E}
2019-01-20 17:58 - 2019-01-20 21:44 - 000000000 ____D C:\Users\Все пользователи\{05240302-1C36-E9D0-4E01-53654EE60A34}
2019-01-20 17:58 - 2019-01-20 21:44 - 000000000 ____D C:\ProgramData\{2FF0C1E4-DED0-C304-A8C3-874FA824DE1E}
2019-01-20 17:58 - 2019-01-20 21:44 - 000000000 ____D C:\ProgramData\{05240302-1C36-E9D0-4E01-53654EE60A34}
2019-01-20 15:23 - 2019-01-20 17:41 - 000000000 ____D C:\Users\Все пользователи\{180D61A8-7E9C-F4F9-E463-7A78E4842329}
2019-01-20 15:23 - 2019-01-20 17:41 - 000000000 ____D C:\Users\Все пользователи\{133E76EA-69DE-FFCA-A674-4973A6931022}
2019-01-20 15:23 - 2019-01-20 17:41 - 000000000 ____D C:\ProgramData\{180D61A8-7E9C-F4F9-E463-7A78E4842329}
2019-01-20 15:23 - 2019-01-20 17:41 - 000000000 ____D C:\ProgramData\{133E76EA-69DE-FFCA-A674-4973A6931022}
2019-01-20 14:34 - 2019-01-20 14:34 - 002035756 _____ C:\Users\User\AppData\Local\ZummaKix.tst
2019-01-20 14:34 - 2019-01-20 14:34 - 000126464 _____ C:\Users\User\AppData\Local\noah.dat
2019-01-20 14:34 - 2019-01-20 14:34 - 000070896 _____ C:\Users\User\AppData\Local\Config.xml
2019-01-20 14:34 - 2019-01-20 14:34 - 000005568 _____ C:\Users\User\AppData\Local\md.xml
2019-01-20 14:33 - 2019-01-21 06:13 - 000000000 ____D C:\Program Files (x86)\CPG
2019-01-20 14:33 - 2019-01-21 00:36 - 000002672 __RSH C:\Users\Все пользователи\ntuser.pol
2019-01-20 14:33 - 2019-01-21 00:36 - 000002672 __RSH C:\ProgramData\ntuser.pol
2019-01-20 14:33 - 2019-01-20 14:34 - 000016368 _____ C:\Users\User\AppData\Local\InstallationConfiguration.xml
2019-01-20 14:33 - 2019-01-20 14:33 - 000722944 _____ C:\Users\User\AppData\Local\sham.db
2019-01-20 14:33 - 2019-01-20 14:33 - 000140800 _____ C:\Users\User\AppData\Local\installer.dat
2019-01-20 14:33 - 2019-01-20 14:33 - 000001102 _____ C:\Users\User\Desktop\foldershare.lnk
2019-01-20 14:33 - 2019-01-20 14:33 - 000000000 ____D C:\Program Files (x86)\foldershare
2019-01-20 14:32 - 2019-01-21 10:27 - 000000000 ____D C:\Users\User\AppData\Roaming\keestary
2019-01-20 14:32 - 2019-01-20 14:32 - 000000000 ____D C:\Users\User\AppData\Roaming\Microleaves
2019-01-20 14:32 - 2019-01-20 14:32 - 000000000 ____D C:\Users\User\AppData\Local\AdvinstAnalytics
2019-01-20 14:32 - 2019-01-20 14:32 - 000000000 ____D C:\Program Files (x86)\Microleaves
2019-01-20 14:33 - 2019-01-21 06:37 - 000000000 ____D C:\Program Files (x86)\Multitimer
2019-01-21 06:06 - 2017-05-24 23:28 - 000000000 ____D C:\Users\User\AppData\Roaming\.ACEStream
2019-01-21 06:06 - 2017-05-24 23:27 - 000000000 ____D C:\Users\User\AppData\Roaming\ACEStream
2018-07-21 08:51 - 2018-09-06 21:17 - 000000000 _____ () C:\Users\User\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2018-07-21 08:51 - 2018-09-06 21:17 - 000000017 _____ () C:\Users\User\AppData\Local\Temp\2bb380cfc48169707350439c0af41b8b.dll
2018-08-10 18:49 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\3164.tmp.exe
2018-11-30 20:44 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\48A.tmp.exe
2019-01-15 19:14 - 2019-01-07 21:59 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\5362.tmp.exe
2018-10-10 21:29 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\61F6.tmp.exe
2018-11-03 14:46 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\68B1.tmp.exe
2019-01-10 23:15 - 2019-01-07 21:59 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\716B.tmp.exe
2018-10-27 10:41 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\766A.tmp.exe
2018-12-07 20:46 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\7BE5.tmp.exe
2018-11-17 15:43 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\91A5.tmp.exe
2018-09-12 13:55 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\97F6.tmp.exe
2018-10-28 21:25 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\9953.tmp.exe
2018-11-23 18:02 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\A2D.tmp.exe
2018-07-21 06:24 - 2018-06-02 17:56 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\A3D3.tmp.exe
2018-12-02 19:15 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\AD04.tmp.exe
2018-12-23 22:31 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\AF77.tmp.exe
2019-01-17 23:26 - 2019-01-07 21:59 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\B33C.tmp.exe
2018-11-03 21:09 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\B4E7.tmp.exe
2018-12-28 22:31 - 2018-12-21 12:35 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\BC39.tmp.exe
2018-12-11 23:06 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\BE63.tmp.exe
2018-11-04 02:21 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\C5B0.tmp.exe
2018-10-27 18:59 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\DB06.tmp.exe
2019-01-16 00:11 - 2019-01-07 21:59 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\F21D.tmp.exe
2019-01-06 22:25 - 2018-12-21 12:35 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\F3B2.tmp.exe
2018-12-09 19:20 - 2018-06-21 16:38 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\F401.tmp.exe
2019-01-19 22:07 - 2019-01-07 21:59 - 000987896 _____ () C:\Users\User\AppData\Local\Temp\FC5A.tmp.exe
2019-01-20 14:33 - 2019-01-20 14:33 - 000375522 _____ (                                                            ) C:\Users\User\AppData\Local\Temp\nyitbbsb3rz.exe
FirewallRules: [{9B80BD6D-88D0-4C9F-A91E-DEB30FC2AD9E}] => (Allow) F:\Games\Steam\Steam.exe No File
FirewallRules: [{840EFC2A-5BEC-4DEB-92E0-D39E026E9CF5}] => (Allow) F:\Games\Steam\Steam.exe No File
FirewallRules: [{8BE32F72-237C-48CC-B296-E292060AB055}] => (Allow) F:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{FA90B87F-7CAC-4C80-94F8-6A39E0954355}] => (Allow) F:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [TCP Query User{ED9A382F-7332-4AF0-8682-FBD7C4864C73}F:\counter-strike 1.6 19.9\hl.exe] => (Allow) F:\counter-strike 1.6 19.9\hl.exe No File
FirewallRules: [UDP Query User{2B165016-8AEE-4E7C-AFBA-A3E08FAD9352}F:\counter-strike 1.6 19.9\hl.exe] => (Allow) F:\counter-strike 1.6 19.9\hl.exe No File
FirewallRules: [TCP Query User{47357588-017B-4B98-B30D-503F56F4A9E8}F:\games\city car driving\bin\win32\starter.exe] => (Allow) F:\games\city car driving\bin\win32\starter.exe No File
FirewallRules: [UDP Query User{97D47AD8-2F87-4C47-896E-C95A2BF7EB49}F:\games\city car driving\bin\win32\starter.exe] => (Allow) F:\games\city car driving\bin\win32\starter.exe No File
FirewallRules: [{627F7CCB-4501-478B-9DEA-CA025426F3EF}] => (Allow) F:\Games\Nox\Nox\bin\Nox.exe No File
FirewallRules: [{76B10B01-AF0E-41F0-B43F-52A90FC28698}] => (Allow) C:\Program Files\Bignox\BigNoxVM\RTNoxVMHandle.exe No File
FirewallRules: [TCP Query User{1ADBC5B7-321C-497B-8718-C9B0F4A58649}F:\counter-strike 1.6\runcs.exe] => (Allow) F:\counter-strike 1.6\runcs.exe No File
FirewallRules: [UDP Query User{1A5747F7-ABBE-45DE-A0CA-64C513E9B57B}F:\counter-strike 1.6\runcs.exe] => (Allow) F:\counter-strike 1.6\runcs.exe No File
FirewallRules: [TCP Query User{632C16DD-08AC-45E1-B3F1-DCCDE417681F}F:\games\grand theft auto v\gta5.exe] => (Block) F:\games\grand theft auto v\gta5.exe No File
FirewallRules: [UDP Query User{217CE308-CBBB-40CD-989D-E76E9A5BDBEC}F:\games\grand theft auto v\gta5.exe] => (Block) F:\games\grand theft auto v\gta5.exe No File
FirewallRules: [{B3CB9D2D-30AF-43EF-9BA5-62E05D39ED6B}] => (Allow) F:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [{5EB2772C-D913-49A9-9DA2-7C891A342AC3}] => (Allow) F:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [{185B1EB8-830D-4B1F-81B4-47B01DC36A87}] => (Allow) C:\WINDOWS\rss\csrss.exe No File
FirewallRules: [{CF10E079-88FD-4073-B7DE-ACE52BF93A7C}] => (Allow) C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{AFAFA620-8301-4500-8D8E-C82CE14D4081}] => (Allow) C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{A0FF1755-55FD-4399-83BA-DFDBFE303981}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{2FDF9B7D-B2B7-4A02-920B-1EA0B8212675}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{07E2B60C-EEC9-4FA1-A126-BEFB1A378855}] => (Allow) C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{4320847F-5C4D-437D-BF50-8C8262B71202}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{89C68731-544C-4A1E-BD20-D40CF5B8D34E}] => (Allow) C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{170CD4B7-622F-48E4-8942-726562029740}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{B5081616-4894-4D9B-9422-8BD1A856317E}] => (Allow) C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 26.01.2019 15:42:01

Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: User

VersionXML: 5.85is-24.01.2019

___________________________________________________________________________

 

Windows 10(6.3.17134) (x64) Professional Версия: 1803 Lang: Russian(0419)

Дата установки ОС: 18.07.2018 23:27:13

Статус лицензии: Windows®, Professional edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe

Системный диск: C: ФС: [NTFS] Емкость: [96.7 Гб] Занято: [54.6 Гб] Свободно: [42.1 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.523.17134.0

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Восстановление системы отключено

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1014

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (отключен)

Kaspersky Internet Security (выключен и устарел)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (выключен и устарел)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.19.0.0.1088

--------------------------- [ OtherUtilities ] ----------------------------

VLC media player v.2.2.8 Внимание! Скачать обновления

WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.10.0.95 v.3.10.0.95 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Viber v.6.8.0.1106 Внимание! Скачать обновления

^Необязательное обновление.^

Skype™ 7.40 v.7.40.103 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 32 PPAPI v.32.0.0.114

Adobe Reader XI (11.0.13) - Russian v.11.0.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Yandex v.18.11.1.805 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.71.0.3578.98

Opera Stable 57.0.3098.116 v.57.0.3098.116 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба остановлена

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Tencent Gaming Buddy v.1.0.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

ShutdownTime version 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

SafeFinder v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Online Application v.2.7.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

UmmyVideoDownloader v.1.8.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------
Ссылка на сообщение
Поделиться на другие сайты

Online Application - не находит его  в установке и в поиске

Сейчас поправим

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
После этого выполните рекомендации из сообщения №11, и на этом закончим
Ссылка на сообщение
Поделиться на другие сайты

Почти всё
Провёл проверку с помощью Malwarebytes AdwCleaner, на автомате нажал "удалить", удалил 40 угроз, не проконсультировавшись. 
Сейчас провёл проверку  Malwarebytes Anti-Malware, обнаружил 134 объекта. Мне их в карантин помещать?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...