Eretik33 0 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Добрый день Поймал вирус, про сканировал вебом он его обнаружил, вылечил, проблема не ушла, постоянно горит индикатор жеского диска в процессах нет загрузки диска а в производительности загружен 100%, при открытии браузера открывается автоматом 2 окна. в ходе проверки авз выдает: Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита) Ошибка анализа библиотеки user32.dll Заранее благодарен! CollectionLog-2019.04.13-09.54.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита) Ошибка анализа библиотеки user32.dllНастройки сканирования AVZ не нужно менять так, как Вам вздумалось, включая расширенный поиск руткитов. На современных системах антируткит не работает ввиду его безнадежного устаревания. "Журнал событий Система": Имя компьютера: DESKTOP-FF1SD37 Код события: 7 Сообщение: Неверный блок на устройстве \Device\Harddisk3\DR3. Номер записи: 28905 Источник: Disk Время записи: 20190413055220.611997-000 Тип события: Ошибка Пользователь: Имя компьютера: DESKTOP-FF1SD37 Код события: 7 Сообщение: Неверный блок на устройстве \Device\Harddisk3\DR3. Номер записи: 28904 Источник: Disk Время записи: 20190413055217.254942-000 Тип события: Ошибка Пользователь: Имя компьютера: DESKTOP-FF1SD37 Код события: 7 Сообщение: Неверный блок на устройстве \Device\Harddisk3\DR3. Номер записи: 28903 Источник: Disk Время записи: 20190413055213.858897-000 Тип события: Ошибка Пользователь: Имя компьютера: DESKTOP-FF1SD37 Код события: 7 Сообщение: Неверный блок на устройстве \Device\Harddisk3\DR3. Номер записи: 28902 Источник: Disk Время записи: 20190413055210.513968-000 Тип события: Ошибка Пользователь: Имя компьютера: DESKTOP-FF1SD37 Код события: 7 Сообщение: Неверный блок на устройстве \Device\Harddisk3\DR3. Номер записи: 28901 Источник: Disk Время записи: 20190413055207.174285-000 Тип события: Ошибка Пользователь: У Вас проблемы с жестким диском. Проверяйте на ошибки. Игровой центр удалите через Установку программ. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Eretik33 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 Игровой центр заражен? это приложение от онлайн игры. Лог во вложении ClearLNK-2019.04.13_10.49.16.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Значит не трогайте его, если он Вам нужен. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Eretik33 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 скан Farbar Desktop.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: AlternateDataStreams: C:\ProgramData\TEMP:8D49B91E [129] AlternateDataStreams: C:\ProgramData\TEMP:BFE23423 [368] AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209] AlternateDataStreams: C:\Users\Все пользователи\TEMP:8D49B91E [129] AlternateDataStreams: C:\Users\Все пользователи\TEMP:BFE23423 [368] AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [209] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Eretik33 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 Прикрепил Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Eretik33 0 Опубликовано 13 апреля, 2019 Автор Share Опубликовано 13 апреля, 2019 вроде ушла спасибо очень оперативно ответили быстро помогли, на другом сайте запросил помощь и ничего до сих пор Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 13 апреля, 2019 Share Опубликовано 13 апреля, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Eretik33 0 Опубликовано 14 апреля, 2019 Автор Share Опубликовано 14 апреля, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 14.04.2019 18:50:56 Path starting: C:\Users\Ereti\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Ereti VersionXML: 6.24is-11.04.2019 ___________________________________________________________________________ Windows 10(6.3.17763) (x64) Professional Версия: 1809 Lang: Russian(0419) Дата установки ОС: 10.01.2019 13:01:10 Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно. Статус лицензии: Office 15, OfficeStandardVL_KMS_Client edition Срок истечения многопользовательской активации: 241392 мин. Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 241392 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [54.7 Гб] Занято: [47.7 Гб] Свободно: [7 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.437.17763.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x64 v.15.0.4569.1506 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR, версия 5.00 v.5.00 Внимание! Скачать обновления NVIDIA GeForce Experience 3.18.0.102 v.3.18.0.102 FileZilla Client 3.25.2 v.3.25.2 Внимание! Скачать обновления TeamViewer 13 v.13.0.6447 Внимание! Скачать обновления TeamViewer 13 (TeamViewer) - Служба остановлена --------------------------------- [ IM ] ---------------------------------- Discord v.0.0.305 Viber v.9.8.0.7 Внимание! Скачать обновления ^Необязательное обновление.^ Skype, версия 8.42 v.8.42 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. qBittorrent 4.1.5 v.4.1.5 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 PPAPI v.32.0.0.171 ------------------------------- [ Browser ] ------------------------------- Opera Stable 58.0.3135.127 v.58.0.3135.127 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1903.4-0\MsMpEng.exe v.4.18.1903.4 C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1903.4-0\NisSrv.exe v.4.18.1903.4 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- Игровой центр v.4.1432 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Razer Cortex v.9.4.13.995 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 14 апреля, 2019 Share Опубликовано 14 апреля, 2019 Выполните рекомендованное, и на этом закончим 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.