Don't Speak Опубликовано 25 февраля, 2019 Опубликовано 25 февраля, 2019 (изменено) После скачивания активатора Windows загрузилась куча adware контента. Почистил adwcleaner'ом и hitmanpro. После этого cureit находит трояны, но вылечить не получается. CollectionLog-2019.02.25-09.49.zip Изменено 25 февраля, 2019 пользователем Don't Speak
thyrex Опубликовано 25 февраля, 2019 Опубликовано 25 февраля, 2019 CloudNet удалите через Установку программ. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('NjMzZTY1ODR', 4); DeleteService('NjMzZTY1ODR'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); QuarantineFile('C:\Windows\system32\drivers\NjMzZTY1ODR',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\windows\rss\csrss.exe',''); TerminateProcessByName('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe'); QuarantineFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe',''); DeleteFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe','32'); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\system32\drivers\NjMzZTY1ODR','64'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsDefender','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteSchedulerTask('ixjas'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ntrtyky'); DeleteSchedulerTask('otuoxymsoa'); DeleteSchedulerTask('oubxhzdev'); DeleteSchedulerTask('ScheduledUpdate'); DeleteSchedulerTask('{770AA3E6-07C6-85DD-9D8D-3511071257EA}'); DeleteSchedulerTask('{77E17ACC-EE20-274D-C081-FF41218571EE}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Don't Speak Опубликовано 25 февраля, 2019 Автор Опубликовано 25 февраля, 2019 (изменено) Не удается запустить скрипт, вирус блокирует программу и она зависает после запуска. Скрипты выполнены, новые логи прилагаю. CollectionLog-2019.02.25-18.36.zip Изменено 25 февраля, 2019 пользователем Don't Speak
thyrex Опубликовано 25 февраля, 2019 Опубликовано 25 февраля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
thyrex Опубликовано 25 февраля, 2019 Опубликовано 25 февраля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: File: C:\Windows\MGJlN.exe File: C:\Users\oikyr_000\AppData\Local\Temp\WinNc.exe File: C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe Folder: C:\Users\oikyr_000\AppData\Roaming\WinNc HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\oikyr_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbbcbihnibkgomhfgbknbplclcimedpm [2019-02-25] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 MjYyZDg; rundll32.exe C:\Windows\kfmqptfrtx.kfmqp NcJNkndZkHRFyskfXEW [X] 2019-02-25 18:06 - 2019-02-25 18:06 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc 2019-02-25 10:03 - 2019-02-25 10:03 - 000000000 ____D C:\Users\Alexandra\AppData\Roaming\EpicNet Inc 2019-02-25 09:36 - 2019-02-25 09:41 - 001435136 _____ C:\Windows\windefender.bak 2019-02-25 09:19 - 2019-02-25 18:28 - 000000000 ___HD C:\Windows\rss 2019-02-25 08:56 - 2019-02-25 08:56 - 006161408 _____ C:\Users\oikyr_000\AppData\Local\dump007.dat 2019-02-25 08:56 - 2019-02-25 08:56 - 000000011 _____ C:\Users\oikyr_000\setup24.ini 2019-02-25 08:56 - 2019-02-25 08:56 - 000000009 _____ C:\Users\oikyr_000\rstr4.ini 2019-02-25 08:55 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files\2QLG9L6C4Z 2019-02-25 08:41 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\NmM2N2Y2M2Y 2019-02-25 08:40 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\67SW5DVNXW 2019-02-25 08:40 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\pg3rht2hlrb 2019-02-25 08:40 - 2019-02-25 08:40 - 000000258 __RSH C:\Users\oikyr_000\ntuser.pol 2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\Users\Все пользователи\appdata.dat 2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\ProgramData\appdata.dat 2019-02-25 08:24 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\h4gu3pkkxgo 2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\wrsrsmyzjr4 2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gsngdfs1mlw 2019-02-25 08:15 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files (x86)\wxcereh 2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\r0usjijbt5x 2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gfmqxa4fbf1 2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\Users\Все пользователи\ntuser.pol 2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\ProgramData\ntuser.pol 2019-02-25 08:11 - 2019-02-25 08:35 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\nvpyfj5dxee 2019-02-25 08:15 - 2019-02-25 08:15 - 000375522 _____ ( ) C:\Users\oikyr_000\AppData\Local\Temp\b5o4bvfikpc.exe Task: {2AA045D1-3224-4970-9621-FAF442399D9F} - \One System CarePeriod -> No File <==== ATTENTION Task: {49DFA37B-F2C8-4A3D-B58A-1503236DE937} - \One System Care Monitor -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:C59E90A4 [127] AlternateDataStreams: C:\Users\Все пользователи\TEMP:C59E90A4 [127] HKLM\...\StartupApproved\Run: => "WindowsDefender" HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "3ID7OKIR393SDLH" HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "C9I32KC64EMG0YI" HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "8181833" HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "YMBU4LNGZD4BFBJ" HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "CloudNet" FirewallRules: [TCP Query User{24037FED-8503-4289-99FA-E86565F453C0}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File FirewallRules: [UDP Query User{DB290E08-0A43-4261-B4DD-94F88BF3D67C}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File FirewallRules: [{D764D21E-120D-4D7C-83CA-033DFE095796}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File FirewallRules: [{585B2FFC-B06B-4B02-A36E-A2A8F5E77BF1}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File FirewallRules: [{340BE304-D720-4FAE-982E-2411A5A91AD4}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File FirewallRules: [{87244CD4-38ED-421A-8685-04E3072CD1E8}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File FirewallRules: [{3EEDB5BF-D34C-480B-BE87-37AC492126CE}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File FirewallRules: [{F267F887-2961-48BC-9E59-942C363A870D}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File FirewallRules: [{9CE26B88-2C0E-47BF-B42D-4D0FDC2C4A73}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File FirewallRules: [{BEAB8CC7-4215-46E2-9D7E-F3EEC6EB2207}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File FirewallRules: [{9F8888DC-B8A1-4C22-B125-9DF090ABAE8B}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File FirewallRules: [{3583B8DB-CF41-4A5D-8615-16D66AC6F222}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File FirewallRules: [TCP Query User{D6819C84-C60E-4795-8F4F-6E84664E0534}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File FirewallRules: [UDP Query User{B9B04423-9E23-4166-99AF-CC10405B8326}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File FirewallRules: [TCP Query User{DADAE0DB-1BBC-4263-8312-56D74650DF72}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File FirewallRules: [UDP Query User{13BD59C5-583C-46C5-8204-858067071908}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File FirewallRules: [TCP Query User{8BF69A99-EF69-41D9-9A1B-385F6C704476}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File FirewallRules: [UDP Query User{89BC95E2-4C68-4503-877B-E4FA4E94FC36}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File FirewallRules: [{EE382BDD-AECA-42A2-A72D-53C271EECE82}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe No File FirewallRules: [{3E385F16-9DC4-479C-A44C-676732A5C931}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File FirewallRules: [{40F15141-4AD5-42EF-A52A-CFA485D0AB82}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File FirewallRules: [{F03E0E98-0ABA-4553-BC53-289833E42DE5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File FirewallRules: [{474FCC64-34A2-4A22-86EC-8FAB5B4CDEA5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File FirewallRules: [{B6936841-5038-459A-A519-278840009DBB}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File FirewallRules: [{FA714888-3BA0-4F84-AEC4-C7395DB40AAC}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File FirewallRules: [{AFAAA078-D5A6-4063-847C-40BF3E03DFF4}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{E660D48D-BEE5-41A7-9FD7-F93EEBBCA5A7}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{02025109-78D2-4E19-8664-247EFA166AFD}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{1FFDE30D-9A36-4585-A1B2-85ED3621F55F}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File FirewallRules: [{9E7F256E-5E9E-436E-BAC8-B9D6FAC4B107}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{229A93F9-9544-4C70-B1AA-169F783D24E5}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] C:\Users\oikyr_000\AppData\Local\Temp\csrss FirewallRules: [{E57D1649-2BC4-4C4D-BDA4-D03C641CF265}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{9B996D64-E20D-4B98-AD15-5B9B4D8D5847}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{D00B47EE-1AF4-40B3-9978-497166F73210}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{F42CE9BA-5DEF-46AF-9FE5-293C50D41178}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{B3CE047C-D753-4799-A826-EED087009FB6}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{DDAEA7B9-7BE4-45E2-8152-D93F4305AAC0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{4233408F-CE79-492C-A380-246420414B17}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{CE44DEDC-9B30-45F1-8AFE-596A253075E2}] => (Allow) C:\Users\Alexandra\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{FA97111E-B5C7-4E36-8CEE-6DC7E7608B42}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{8C544BB9-97FD-47E1-8DE1-023CB4874E9E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{D6F14B67-9FE3-4A5E-86A6-EE33E83BE1E8}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{899A9ABA-1B9E-436B-B1BA-7A22B35039EB}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{3EBEE3E3-22D6-4C15-BBA2-5C14A6CA5318}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{2087AE76-823B-44C2-BBEA-3B092897861E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{E378E0A7-8913-42DB-A441-79377C4D4E5F}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] FirewallRules: [{3F83CFC5-3945-409D-AEB5-D818A6B8F2E0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex Опубликовано 25 февраля, 2019 Опубликовано 25 февраля, 2019 Папку C:\Users\oikyr_000\AppData\Roaming\WinNc удаляйте вручную. Файл C:\Windows\MGJlN.exe тоже. Что с проблемой?
Don't Speak Опубликовано 26 февраля, 2019 Автор Опубликовано 26 февраля, 2019 Проблема решена, утилита не показывает наличия вредоносного ПО. Спасибо за помощь!
thyrex Опубликовано 26 февраля, 2019 Опубликовано 26 февраля, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти