Перейти к содержанию
Правила раздела

[РЕШЕНО] thegoodcaster

Fraer8

Автор Fraer8
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','');
 QuarantineFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','');
 QuarantineFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','');
 QuarantineFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','');
 DelBHO('{7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E}');
 QuarantineFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','');
 SetServiceStart('8e6781e3df173c0b', 4);
 DeleteService('8e6781e3df173c0b');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','');
 QuarantineFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','');
 TerminateProcessByName('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe');
 QuarantineFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','');
 DeleteFile('c:\program files (x86)\vonnfjhtkie\ebebrqktxz.exe','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\J2mUBJi.dll','32');
 DeleteFile('C:\Program Files (x86)\vONNFjhTKIE\kzylauG2l.dll','32');
 DeleteFile('C:\Windows\system32\drivers\8e6781e3df173c0b.sys','64');
 DeleteFile('C:\Windows\system32\drivers\27A9EC1E.sys','64');
 DeleteFile('C:\Users\User\AppData\Roaming\gg545ywk4zm\yhj3bxpqea0.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ruhpuzwb4zo\5ehmt0ekjmz.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1981883','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2369147','x32');
 DeleteSchedulerTask('AWWcazHJnUfLPA');
 DeleteSchedulerTask('JSpPUlYEOjGQEpF2');
 DeleteFile('C:\Program Files (x86)\rZdaClXBU\AmEQuS.dll','64');
 DeleteFile('C:\ProgramData\JrsbweBqGiQFiyVB\qUpMwqq.wsf','64');
 DeleteSchedulerTask('mrAArNosEtAJT2');
 DeleteSchedulerTask('raSRPAMuIMRBbwMvC2');
 DeleteSchedulerTask('txgYfgWClJeJBSoaCDR2');
 DeleteFile('C:\Program Files (x86)\BbdjrrKUeUXuC\LbhcOXU.dll','64');
 DeleteFile('C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\DALnKrr.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Fraer8

Fraer8

Опубликовано
  • Автор
Опубликовано

avz не отвечает

реестр:

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroExt.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32Info.exe\]
"DisableExceptionChainValidation"=dword:00000000
"MitigationOptions"=hex( B):00,00,00,00,3D,22,4C,69

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSharingHookController.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe\]
"MaxLoaderThreads"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMigrate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Common.DBConnection64.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DATABASECOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dllhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\]
"Apitrap.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"AVSTE.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"divx.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"fullsoft.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"javai.dll"=dword:00000001
"jvm.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"main123w.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"mscoree.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"msjava.dll"=dword:00000001
"mso.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"ums.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drvinst.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ehexthost32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ExtExport.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FIRSTRUN.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FLTLDR.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ie4uinit.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEContentService.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieinstal.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ielowutil.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieUnatt.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\]
"DisableExceptionChainValidation"=dword:00000000
"DisableUserModeCallbackFilter"=dword:00000001
"MitigationOptions"=hex( B):00,00,00,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LICLUA.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdge.exe\]
"Debugger"="/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MiracastView.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,69,6E

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MRT.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvw.exe\]
"MitigationOptions"=hex( B):00,00,01,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfeedssync.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe\]
"MitigationOptions"=hex( B):00,00,00,00,3D,22,54,53

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe\]
"CFGOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoev.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOSQM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosrec.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msotd.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSOUC.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAMECONTROLSERVER.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngen.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ngentask.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OARPMANY.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OcPubMgr.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ODeploy.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ofc.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLicenseHeartbeat.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSPPREARM.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PDFREFLOW.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PresentationHost.exe\]
"MitigationOptions"=hex( B):11,11,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintDialog.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintIsolationHost.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protocolhandler.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runtimebroker.exe\]
"MitigationOptions"=hex( B):00,00,01,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotocolhost.exe\]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartTagInstall.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\splwow64.exe\]
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe\]
"DisableExceptionChainValidation"=dword:00000003
"MitigationOptions"=hex( B):00,20,00,00,22,33,3A,31

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPREADSHEETCOMPARE.EXE\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe\]
"MinimumStackCommitInBytes"=dword:00008000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SystemSettings.exe\]
"MitigationOptions"=hex( B):00,00,01,00,69,6D,75,6D

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UcMapi.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv.exe\]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe\]
"DisableExceptionChainValidation"=dword:00000003

 

post-54817-0-32351200-1563034964_thumb.png

CollectionLog-2019.07.13-20.01.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tukbi1U.dll [2019-07-04] () [File not signed]
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffpfiaecfobeadhikddakkmaapliokib
OPR Extension: (Adblocker for Youtube™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion [2019-07-04]
2019-07-04 18:37 - 2019-07-12 18:32 - 000000000 ____D C:\Users\User\AppData\LocalLow\fuXIbnpPYAACF
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU
2019-07-04 18:31 - 2019-07-13 19:33 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE
2019-07-04 18:31 - 2019-07-04 18:31 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\ruhpuzwb4zo
2019-07-04 18:30 - 2019-07-13 19:33 - 000000000 ____D C:\Users\User\AppData\Roaming\gg545ywk4zm
2019-07-04 18:30 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\TDFCD3VIQJ
2019-07-04 18:30 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\8SFSUZX7GA
2019-07-04 18:10 - 2019-07-04 21:03 - 000000000 ____D C:\Program Files\NE3F2Z7THM
2019-07-04 18:10 - 2019-07-04 20:59 - 000000000 ____D C:\Program Files\KYVCAP7UNZ
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\w4zzevxomme
2019-07-04 18:10 - 2019-07-04 18:10 - 000000000 ____D C:\Users\User\AppData\Roaming\eaex1obonwj
2019-07-04 13:58 - 2019-07-04 20:57 - 000000000 ____D C:\Program Files\H5W27X5SO9
2019-07-04 13:58 - 2019-07-04 20:54 - 000000000 ____D C:\Program Files\05LL5ZBM0O
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\q0mjoexza5w
2019-07-04 13:58 - 2019-07-04 13:58 - 000000000 ____D C:\Users\User\AppData\Roaming\0roefyklcxk
2019-07-04 13:47 - 2019-07-04 21:05 - 000000000 ____D C:\Program Files\SWBG0SF0ER
2019-07-04 13:47 - 2019-07-04 20:55 - 000000000 ____D C:\Program Files\GZBK2U4QVS
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\pcag5vvyq4r
2019-07-04 13:47 - 2019-07-04 13:47 - 000000000 ____D C:\Users\User\AppData\Roaming\mrg0ui1tbdv
2019-07-04 13:32 - 2019-07-04 21:06 - 000000000 ____D C:\Program Files\WKPEY6VC1N
2019-07-04 13:32 - 2019-07-04 20:53 - 000000000 ____D C:\Program Files\99VT661D0J
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\rwu5vprzljt
2019-07-04 13:32 - 2019-07-04 13:32 - 000000000 ____D C:\Users\User\AppData\Roaming\ggnk1d3guav
2019-07-04 13:12 - 2019-07-04 21:00 - 000000000 ____D C:\Program Files\MNW9WG0F00
2019-07-04 13:12 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\KN3I4PU3H7
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\nvgncouigc3
2019-07-04 13:12 - 2019-07-04 13:12 - 000000000 ____D C:\Users\User\AppData\Roaming\kdozf5naitj
2019-07-04 13:10 - 2019-07-04 20:58 - 000000000 ____D C:\Program Files\L9U635J7K5
2019-07-04 13:10 - 2019-07-04 13:10 - 000000000 ____D C:\Users\User\AppData\Roaming\j3j4krsa4j5
2019-07-04 13:06 - 2019-07-04 20:52 - 000000000 ____D C:\Program Files\BE4W8WBX7N
2019-07-04 13:06 - 2019-07-04 13:06 - 000000000 ____D C:\Users\User\AppData\Roaming\z1uyvgnnapc
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "1981883"
HKU\S-1-5-21-32835395-801883834-323819259-1000\...\StartupApproved\Run: => "2369147"
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась Внимание! Скачать обновления

^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции^

Internet Explorer 11.51.14393.0 Внимание! Скачать обновления

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления

K-Lite Mega Codec Pack 10.5.5 v.10.5.5 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 14 ActiveX & Plugin 64-bit v.14.0.0.125 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Shockwave Player + Authorware Web Player v.v12.1.2.152 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Adobe Reader XI (11.0.07) - Russian v.11.0.07 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

выполните рекомендованное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • seiqwi0o
      [РЕШЕНО] TrojanDownloader:Win64/Rugmi!rfn
      Автор seiqwi0o
      Здравствуйте! Скачал зип архив для установки лаунчера игры, неоднократно запускал Setup.exe от имени администратора, ничего не происходило, затем пришло уведомление от антивируса.
      Через пару дней была попытка увести телеграмм (активная сессия с моего декстопа, но из другой страны и с другим названием устройства/пользователя). Запаниковал, удалил браузеры кроме еджа, не знаю зря ли.
      Вирус, обнаруженный дефендером при установке:

      В результате первого сканирования KVRT был обнаружен и вылечен: 
      После второго сканирования:

      Все удалось удалить, после перезагрузки ПК никаких обнаружений.
      Скажите, пожалуйста, компьютер до сих пор уязвим, нужно предпринять еще какие-то меры?
      CollectionLog-2025.08.02-01.22.zip
×
×
  • Создать...