Перейти к содержанию
Правила раздела
Акция! Скидка на KSC для защиты близких!
Конкурс логотипа фан-клуба
Авторизация  
Подписчики 0
Fraer8

[РЕШЕНО] thegoodcaster

Автор Fraer8, в Уничтожение вирусов

Рекомендуемые сообщения

Fraer8    0

Fraer8
Опубликовано

http://www.spyware-ru.com/udalit-thegoodcaster-com-reklamu-instruktsiya/

все сделал, удалил часть, но не все
докторвебом чистил, но все равно он сидит

CollectionLog-2019.07.12-18.35.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','');
 QuarantineFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','');
 QuarantineFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','');
 QuarantineFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','');
 DelBHO('{7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E}');
 QuarantineFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','');
 SetServiceStart('8e6781e3df173c0b', 4);
 DeleteService('8e6781e3df173c0b');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','');
 TerminateProcessByName('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe');
 QuarantineFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','');
 DeleteFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','32');
 DeleteFile('C:\Windows\system32\drivers\8e6781e3df173c0b.sys','64');
 DeleteFile('C:\Windows\system32\drivers\27A9EC1E.sys','64');
 DeleteFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x32');
 DeleteSchedulerTask('AWWcazHJnUfLPA');
 DeleteSchedulerTask('JSpPUlYEOjGQEpF2');
 DeleteFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','64');
 DeleteFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','64');
 DeleteSchedulerTask('mrAArNosEtAJT2');
 DeleteSchedulerTask('raSRPAMuIMRBbwMvC2');
 DeleteSchedulerTask('txgYfgWClJeJBSoaCDR2');
 DeleteFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','64');
 DeleteFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Fraer8    0

Fraer8
Опубликовано

avz не отвечает

реестр:

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroExt.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32Info.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSharingHookController.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe\]
"MaxLoaderThreads"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMigrate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection64.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DATABASECOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dllhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\]
"Apitrap.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"AVSTE.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"divx.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"fullsoft.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"javai.dll"=dword:00000001
"jvm.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"main123w.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"mscoree.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"msjava.dll"=dword:00000001
"mso.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"ums.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drvinst.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ehexthost32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ExtExport.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FIRSTRUN.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FLTLDR.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ie4uinit.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEContentService.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieinstal.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ielowutil.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieUnatt.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\]
"DisableExceptionChainValidation"=dword:00000000
"DisableUserModeCallbackFilter"=dword:00000001
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LICLUA.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdge.exe\]
"Debugger"="/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MiracastView.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MRT.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvw.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfeedssync.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoev.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOSQM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosrec.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msotd.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOUC.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAMECONTROLSERVER.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngen.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngentask.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OARPMANY.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OcPubMgr.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ODeploy.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ofc.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLicenseHeartbeat.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSPPREARM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PDFREFLOW.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PresentationHost.exe\]
"MitigationOptions"=hex( B):11,11,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintDialog.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintIsolationHost.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protocolhandler.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runtimebroker.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotocolhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartTagInstall.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\splwow64.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe\]
"DisableExceptionChainValidation"=dword:00000003
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPREADSHEETCOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe\]
"MinimumStackCommitInBytes"=dword:00008000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SystemSettings.exe\]
"MitigationOptions"=hex( B):00,00,01,00,69,6D,75,6D

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UcMapi.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

 

post-54817-0-32351200-1563034964_thumb.png

CollectionLog-2019.07.13-20.01.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tukbi1U.dll [2019-07-04] () [File not signed]
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffpfiaecfobeadhikddakkmaapliokib
OPR Extension: (Adblocker for Youtube™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion [2019-07-04]
2019-07-04 18:37 - 2019-07-12 18:32 - 000000000 ____D C:\Users\User\AppData\LocalLow\fuXIbnpPYAACF
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\ruhpuzwb4zo
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\gg545ywk4zm
2019-07-04 18:30 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\TDFCD3VIQJ
2019-07-04 18:30 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\8SFSUZX7GA
2019-07-04 18:10 - 2019-07-04 21:03 - 000000000 ____D C:\Program Files\NE3F2Z7THM
2019-07-04 18:10 - 2019-07-04 20:59 - 000000000 ____D C:\Program Files\KYVCAP7UNZ
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\w4zzevxomme
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\eaex1obonwj
2019-07-04 13:58 - 2019-07-04 20:57 - 000000000 ____D C:\Program Files\H5W27X5SO9
2019-07-04 13:58 - 2019-07-04 20:54 - 000000000 ____D C:\Program Files\05LL5ZBM0O
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\q0mjoexza5w
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\0roefyklcxk
2019-07-04 13:47 - 2019-07-04 21:05 - 000000000 ____D C:\Program Files\SWBG0SF0ER
2019-07-04 13:47 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\GZBK2U4QVS
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\pcag5vvyq4r
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\mrg0ui1tbdv
2019-07-04 13:32 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\WKPEY6VC1N
2019-07-04 13:32 - 2019-07-04 20:53 - 000000000 ____D C:\Program Files\99VT661D0J
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\rwu5vprzljt
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\ggnk1d3guav
2019-07-04 13:12 - 2019-07-04 21:00 - 000000000 ____D C:\Program Files\MNW9WG0F00
2019-07-04 13:12 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\KN3I4PU3H7
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\nvgncouigc3
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\kdozf5naitj
2019-07-04 13:10 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\L9U635J7K5
2019-07-04 13:10 - 2019-07-04 13:10 - 000000000 ____D C:\Users\User\AppData\Roaming\j3j4krsa4j5
2019-07-04 13:06 - 2019-07-04 20:52 - 000000000 ____D C:\Program Files\BE4W8WBX7N
2019-07-04 13:06 - 2019-07-04 13:06 - 000000000 ____D C:\Users\User\AppData\Roaming\z1uyvgnnapc
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "1981883"
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "2369147"
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

Проблема решена?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано
------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась Внимание! Скачать обновления

^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции^

Internet Explorer 11.51.14393.0 Внимание! Скачать обновления

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления

K-Lite Mega Codec Pack 10.5.5 v.10.5.5 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 14 ActiveX & Plugin 64-bit v.14.0.0.125 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Shockwave Player + Authorware Web Player v.v12.1.2.152 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Adobe Reader XI (11.0.07) - Russian v.11.0.07 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

выполните рекомендованное, и на этом закончим.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 145

thyrex
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  
Подписчики 0
Перейти к списку тем
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.

  Я принимаю