Перейти к содержанию

[РЕШЕНО] thegoodcaster


Рекомендуемые сообщения

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','');
 QuarantineFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','');
 QuarantineFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','');
 QuarantineFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','');
 DelBHO('{7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E}');
 QuarantineFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','');
 SetServiceStart('8e6781e3df173c0b', 4);
 DeleteService('8e6781e3df173c0b');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','');
 TerminateProcessByName('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe');
 QuarantineFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','');
 DeleteFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','32');
 DeleteFile('C:\Windows\system32\drivers\8e6781e3df173c0b.sys','64');
 DeleteFile('C:\Windows\system32\drivers\27A9EC1E.sys','64');
 DeleteFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x32');
 DeleteSchedulerTask('AWWcazHJnUfLPA');
 DeleteSchedulerTask('JSpPUlYEOjGQEpF2');
 DeleteFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','64');
 DeleteFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','64');
 DeleteSchedulerTask('mrAArNosEtAJT2');
 DeleteSchedulerTask('raSRPAMuIMRBbwMvC2');
 DeleteSchedulerTask('txgYfgWClJeJBSoaCDR2');
 DeleteFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','64');
 DeleteFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

avz не отвечает

реестр:

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroExt.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32Info.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSharingHookController.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe\]
"MaxLoaderThreads"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMigrate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection64.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DATABASECOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dllhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\]
"Apitrap.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"AVSTE.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"divx.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"fullsoft.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"javai.dll"=dword:00000001
"jvm.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"main123w.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"mscoree.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"msjava.dll"=dword:00000001
"mso.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"ums.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drvinst.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ehexthost32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ExtExport.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FIRSTRUN.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FLTLDR.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ie4uinit.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEContentService.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieinstal.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ielowutil.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieUnatt.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\]
"DisableExceptionChainValidation"=dword:00000000
"DisableUserModeCallbackFilter"=dword:00000001
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LICLUA.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdge.exe\]
"Debugger"="/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MiracastView.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MRT.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvw.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfeedssync.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoev.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOSQM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosrec.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msotd.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOUC.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAMECONTROLSERVER.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngen.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngentask.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OARPMANY.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OcPubMgr.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ODeploy.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ofc.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLicenseHeartbeat.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSPPREARM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PDFREFLOW.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PresentationHost.exe\]
"MitigationOptions"=hex( B):11,11,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintDialog.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintIsolationHost.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protocolhandler.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runtimebroker.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotocolhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartTagInstall.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\splwow64.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe\]
"DisableExceptionChainValidation"=dword:00000003
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPREADSHEETCOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe\]
"MinimumStackCommitInBytes"=dword:00008000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SystemSettings.exe\]
"MitigationOptions"=hex( B):00,00,01,00,69,6D,75,6D

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UcMapi.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

 

post-54817-0-32351200-1563034964_thumb.png

CollectionLog-2019.07.13-20.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tukbi1U.dll [2019-07-04] () [File not signed]
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffpfiaecfobeadhikddakkmaapliokib
OPR Extension: (Adblocker for Youtube™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion [2019-07-04]
2019-07-04 18:37 - 2019-07-12 18:32 - 000000000 ____D C:\Users\User\AppData\LocalLow\fuXIbnpPYAACF
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\ruhpuzwb4zo
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\gg545ywk4zm
2019-07-04 18:30 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\TDFCD3VIQJ
2019-07-04 18:30 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\8SFSUZX7GA
2019-07-04 18:10 - 2019-07-04 21:03 - 000000000 ____D C:\Program Files\NE3F2Z7THM
2019-07-04 18:10 - 2019-07-04 20:59 - 000000000 ____D C:\Program Files\KYVCAP7UNZ
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\w4zzevxomme
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\eaex1obonwj
2019-07-04 13:58 - 2019-07-04 20:57 - 000000000 ____D C:\Program Files\H5W27X5SO9
2019-07-04 13:58 - 2019-07-04 20:54 - 000000000 ____D C:\Program Files\05LL5ZBM0O
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\q0mjoexza5w
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\0roefyklcxk
2019-07-04 13:47 - 2019-07-04 21:05 - 000000000 ____D C:\Program Files\SWBG0SF0ER
2019-07-04 13:47 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\GZBK2U4QVS
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\pcag5vvyq4r
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\mrg0ui1tbdv
2019-07-04 13:32 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\WKPEY6VC1N
2019-07-04 13:32 - 2019-07-04 20:53 - 000000000 ____D C:\Program Files\99VT661D0J
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\rwu5vprzljt
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\ggnk1d3guav
2019-07-04 13:12 - 2019-07-04 21:00 - 000000000 ____D C:\Program Files\MNW9WG0F00
2019-07-04 13:12 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\KN3I4PU3H7
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\nvgncouigc3
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\kdozf5naitj
2019-07-04 13:10 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\L9U635J7K5
2019-07-04 13:10 - 2019-07-04 13:10 - 000000000 ____D C:\Users\User\AppData\Roaming\j3j4krsa4j5
2019-07-04 13:06 - 2019-07-04 20:52 - 000000000 ____D C:\Program Files\BE4W8WBX7N
2019-07-04 13:06 - 2019-07-04 13:06 - 000000000 ____D C:\Users\User\AppData\Roaming\z1uyvgnnapc
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "1981883"
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "2369147"
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась Внимание! Скачать обновления

^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции^

Internet Explorer 11.51.14393.0 Внимание! Скачать обновления

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления

K-Lite Mega Codec Pack 10.5.5 v.10.5.5 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 14 ActiveX & Plugin 64-bit v.14.0.0.125 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Shockwave Player + Authorware Web Player v.v12.1.2.152 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Adobe Reader XI (11.0.07) - Russian v.11.0.07 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

выполните рекомендованное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • wastezxc
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
×
×
  • Создать...