Не запускается проверка KVRT

[Андрей Махмудов]

Обновился Windows, а после этого начал проявляться вирус. Была 100% загруженность ЦП, не пускало на сайт для скачивания Cureit, имеющиеся на компьютере копии не начинали сканирование, KVRT тоже. Взял cureit с другого компьютера, дополнительно прогнал safety scanner-ом, rescue disk-ом. Проделал всё это несколько раз, теперь меня пускает на сайк Cureit-а, загрузка на ЦП уменьшилась, оперативная память всё-равно загружена. Постоянно всплывает окно MDM (никакими такими программами не пользуюсь) скрин приложил. Хочу прогнать KVRT, но эта утилита всё ещё не работает. Что подскажете

CollectionLog-2020.12.11-00.26.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Андрей Махмудов]

Карантин прикрепил, вот логи

CollectionLog-2020.12.11-09.12.zip

 

12 часов назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

KVRT запустился, MDM всё ещё всплывает, оперативная память всё еще загружена на 6 гб из 16 без запущенных программ, загруженность процессора снижается, когда открываю диспетчер задач

 

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Андрей Махмудов]

15 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

FRST+ADDITION.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
FirewallRules: [{2DC023E3-640F-4A02-B420-C53422D7BECE}] => (Block) LPort=139
FirewallRules: [{CF155E32-6401-41F0-AAB9-1EE62DABEDC0}] => (Block) LPort=139
FirewallRules: [{3A726994-3DDD-4E6D-9A71-1B580514DBDD}] => (Block) LPort=445
FirewallRules: [{3F638988-726F-48B0-8324-64203680B3FE}] => (Block) LPort=445
FirewallRules: [UDP Query User{665492A2-260B-4C65-BD39-382824AD1158}D:\crossout\launcher.exe] => (Allow) D:\crossout\launcher.exe => No File
FirewallRules: [TCP Query User{1DC6C4D1-F3B9-4EFD-8D73-67C1431FD928}D:\crossout\launcher.exe] => (Allow) D:\crossout\launcher.exe => No File
FirewallRules: [{66AF87A9-A28E-49A7-B539-D8837BF2A666}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{9D668426-FCFE-4563-B4EE-4225FB6FB516}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe => No File
FirewallRules: [{0E24B0DA-2946-4829-9226-302E57BEBD7D}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe => No File
FirewallRules: [UDP Query User{A21033F5-C91F-455E-901E-C1AF9D483B75}D:\games\zombie army trilogy\game\bin\zat.exe] => (Block) D:\games\zombie army trilogy\game\bin\zat.exe => No File
FirewallRules: [TCP Query User{E9925191-9A2F-41C9-B4EE-E2081388FBCA}D:\games\zombie army trilogy\game\bin\zat.exe] => (Block) D:\games\zombie army trilogy\game\bin\zat.exe => No File
FirewallRules: [UDP Query User{D65EC3C5-51D9-47B0-B8F8-325FAE5C6E36}D:\quantum break\dx11\quantumbreak.exe] => (Allow) D:\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [TCP Query User{73A19281-85D9-48A5-90B4-EEFC32DE656E}D:\quantum break\dx11\quantumbreak.exe] => (Allow) D:\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [{F995D5DF-AF19-40AB-B2EB-F7584B6A1965}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [{3C8EEF06-31EC-4274-985C-973237E32991}] => (Allow) C:\Users\user\AppData\Local\Temp\DriverPack-20200409221451\tools\aria2c.exe => No File
FirewallRules: [UDP Query User{DE957267-F9CF-45B6-817F-784853C64835}D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe] => (Allow) D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe => No File
FirewallRules: [TCP Query User{95BCD535-90AA-4A00-BC8C-D0E133CCC557}D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe] => (Allow) D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe => No File
FirewallRules: [UDP Query User{77C3AB8F-347E-48FE-A0E7-F0333710CA06}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => No File
FirewallRules: [TCP Query User{6C23608C-4137-4962-A8BE-10D09C071485}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => No File
FirewallRules: [UDP Query User{A181DD08-B21C-43DC-B847-B8F484BEEE6D}D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe] => (Allow) D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe => No File
FirewallRules: [TCP Query User{763CC3F6-2763-4325-90F2-C68A3E904536}D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe] => (Allow) D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe => No File
FirewallRules: [UDP Query User{E86F9D9B-F66C-4CEC-9BC4-F2BE8E0FB401}D:\steam\steamapps\common\portal 2\portal2.exe] => (Block) D:\steam\steamapps\common\portal 2\portal2.exe => No File
FirewallRules: [TCP Query User{119B8BDF-7C53-4E76-9C03-7E11B1F8E8AA}D:\steam\steamapps\common\portal 2\portal2.exe] => (Block) D:\steam\steamapps\common\portal 2\portal2.exe => No File
FirewallRules: [{454DAF64-65F3-43AF-984E-039180E0852D}] => (Allow) D:\Новая папка (6)\Zona\Zona.exe => No File
FirewallRules: [{B48945E3-DBA1-49FA-8E16-204A93D55887}] => (Allow) D:\Новая папка (6)\Zona\Zona.exe => No File
FirewallRules: [UDP Query User{DCC7084B-280F-482C-A052-D85B6F3D679B}D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe => No File
FirewallRules: [TCP Query User{7E14692F-A8C9-4048-B61F-DACE068F3141}D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe => No File
FirewallRules: [UDP Query User{569AABD7-E028-48DE-9D94-124D1A86A47A}D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe => No File
FirewallRules: [TCP Query User{E4D84051-B1E8-4DA6-9775-829A24790DFC}D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe => No File
FirewallRules: [{7A1BCAF0-000B-4897-844F-E0C95E72A903}] => (Block) D:\prototype 2\prototype2.exe => No File
FirewallRules: [{B44F5C4B-9C89-4B72-9136-022A22D07ED1}] => (Block) D:\prototype 2\prototype2.exe => No File
FirewallRules: [UDP Query User{FC0DD288-6B96-4764-B575-B9885CB051B5}D:\prototype 2\prototype2.exe] => (Allow) D:\prototype 2\prototype2.exe => No File
FirewallRules: [TCP Query User{DF7FCCB5-B2F6-4102-B38A-1DD621FB8245}D:\prototype 2\prototype2.exe] => (Allow) D:\prototype 2\prototype2.exe => No File
FirewallRules: [{33E49AB1-D7AD-4D67-B8E5-8013648E7034}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe => No File
FirewallRules: [{178E69A8-8E35-4052-95A1-692BE8A3451C}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\OxygenPanelDaemon.exe => No File
FirewallRules: [{795EAF20-9799-4010-A0B3-92FF085764CA}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => No File
FirewallRules: [{D61937D6-44D0-4006-B1C1-85FB5ADD0E1B}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{F738A101-C242-4CF6-BAF1-DC4BFF48EF80}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{C03FFE6A-AEC1-4789-BB17-FDDDAF0E67CE}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{39AB8A21-4239-4CC2-9760-FA0998E82EB1}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [UDP Query User{083B04A0-0D73-4F8A-BA21-1DAB358373C7}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => No File
FirewallRules: [TCP Query User{91A8956B-29E9-43CD-BF27-99181165489A}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => No File
FirewallRules: [{A71561D3-D196-4914-948F-E26405B5A404}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS2A02\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{B1CF9893-9856-4014-BF47-2278F80BBFC7}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS2A02\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{3B29EC3A-2766-46B9-B15E-A508AA7017FA}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS299D\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{16D62F2D-91C2-4C4D-940B-F9677A5B9C92}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS299D\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{4DD38123-9A26-4352-9AB9-ED2E06CD7C93}] => (Allow) D:\steaM\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{042E44A8-FBDF-428F-9C9A-13EEBD89759B}] => (Allow) D:\steaM\bin\cef\cef.win7\steamwebhelper.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Андрей Махмудов]

49 минут назад, thyrex сказал:

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
FirewallRules: [{2DC023E3-640F-4A02-B420-C53422D7BECE}] => (Block) LPort=139
FirewallRules: [{CF155E32-6401-41F0-AAB9-1EE62DABEDC0}] => (Block) LPort=139
FirewallRules: [{3A726994-3DDD-4E6D-9A71-1B580514DBDD}] => (Block) LPort=445
FirewallRules: [{3F638988-726F-48B0-8324-64203680B3FE}] => (Block) LPort=445
FirewallRules: [UDP Query User{665492A2-260B-4C65-BD39-382824AD1158}D:\crossout\launcher.exe] => (Allow) D:\crossout\launcher.exe => No File
FirewallRules: [TCP Query User{1DC6C4D1-F3B9-4EFD-8D73-67C1431FD928}D:\crossout\launcher.exe] => (Allow) D:\crossout\launcher.exe => No File
FirewallRules: [{66AF87A9-A28E-49A7-B539-D8837BF2A666}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{9D668426-FCFE-4563-B4EE-4225FB6FB516}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe => No File
FirewallRules: [{0E24B0DA-2946-4829-9226-302E57BEBD7D}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe => No File
FirewallRules: [UDP Query User{A21033F5-C91F-455E-901E-C1AF9D483B75}D:\games\zombie army trilogy\game\bin\zat.exe] => (Block) D:\games\zombie army trilogy\game\bin\zat.exe => No File
FirewallRules: [TCP Query User{E9925191-9A2F-41C9-B4EE-E2081388FBCA}D:\games\zombie army trilogy\game\bin\zat.exe] => (Block) D:\games\zombie army trilogy\game\bin\zat.exe => No File
FirewallRules: [UDP Query User{D65EC3C5-51D9-47B0-B8F8-325FAE5C6E36}D:\quantum break\dx11\quantumbreak.exe] => (Allow) D:\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [TCP Query User{73A19281-85D9-48A5-90B4-EEFC32DE656E}D:\quantum break\dx11\quantumbreak.exe] => (Allow) D:\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [{F995D5DF-AF19-40AB-B2EB-F7584B6A1965}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [{3C8EEF06-31EC-4274-985C-973237E32991}] => (Allow) C:\Users\user\AppData\Local\Temp\DriverPack-20200409221451\tools\aria2c.exe => No File
FirewallRules: [UDP Query User{DE957267-F9CF-45B6-817F-784853C64835}D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe] => (Allow) D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe => No File
FirewallRules: [TCP Query User{95BCD535-90AA-4A00-BC8C-D0E133CCC557}D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe] => (Allow) D:\maxon cinema 4d studio r20.030 portable by soyv4\cinema 4d.exe => No File
FirewallRules: [UDP Query User{77C3AB8F-347E-48FE-A0E7-F0333710CA06}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => No File
FirewallRules: [TCP Query User{6C23608C-4137-4962-A8BE-10D09C071485}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => No File
FirewallRules: [UDP Query User{A181DD08-B21C-43DC-B847-B8F484BEEE6D}D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe] => (Allow) D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe => No File
FirewallRules: [TCP Query User{763CC3F6-2763-4325-90F2-C68A3E904536}D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe] => (Allow) D:\crash bandicoot n. sane trilogy\crashbandicootnsanetrilogy.exe => No File
FirewallRules: [UDP Query User{E86F9D9B-F66C-4CEC-9BC4-F2BE8E0FB401}D:\steam\steamapps\common\portal 2\portal2.exe] => (Block) D:\steam\steamapps\common\portal 2\portal2.exe => No File
FirewallRules: [TCP Query User{119B8BDF-7C53-4E76-9C03-7E11B1F8E8AA}D:\steam\steamapps\common\portal 2\portal2.exe] => (Block) D:\steam\steamapps\common\portal 2\portal2.exe => No File
FirewallRules: [{454DAF64-65F3-43AF-984E-039180E0852D}] => (Allow) D:\Новая папка (6)\Zona\Zona.exe => No File
FirewallRules: [{B48945E3-DBA1-49FA-8E16-204A93D55887}] => (Allow) D:\Новая папка (6)\Zona\Zona.exe => No File
FirewallRules: [UDP Query User{DCC7084B-280F-482C-A052-D85B6F3D679B}D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe => No File
FirewallRules: [TCP Query User{7E14692F-A8C9-4048-B61F-DACE068F3141}D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\client\ivms-4200.devicemanagement.c\ivms-4200.devicemanagement.c.exe => No File
FirewallRules: [UDP Query User{569AABD7-E028-48DE-9D94-124D1A86A47A}D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe => No File
FirewallRules: [TCP Query User{E4D84051-B1E8-4DA6-9775-829A24790DFC}D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe] => (Allow) D:\ivms-4200 site\ivms-4200 client\server\ivms-4200.devicemanagement.s\ivms-4200.devicemanagement.s.exe => No File
FirewallRules: [{7A1BCAF0-000B-4897-844F-E0C95E72A903}] => (Block) D:\prototype 2\prototype2.exe => No File
FirewallRules: [{B44F5C4B-9C89-4B72-9136-022A22D07ED1}] => (Block) D:\prototype 2\prototype2.exe => No File
FirewallRules: [UDP Query User{FC0DD288-6B96-4764-B575-B9885CB051B5}D:\prototype 2\prototype2.exe] => (Allow) D:\prototype 2\prototype2.exe => No File
FirewallRules: [TCP Query User{DF7FCCB5-B2F6-4102-B38A-1DD621FB8245}D:\prototype 2\prototype2.exe] => (Allow) D:\prototype 2\prototype2.exe => No File
FirewallRules: [{33E49AB1-D7AD-4D67-B8E5-8013648E7034}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe => No File
FirewallRules: [{178E69A8-8E35-4052-95A1-692BE8A3451C}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\OxygenPanelDaemon.exe => No File
FirewallRules: [{795EAF20-9799-4010-A0B3-92FF085764CA}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => No File
FirewallRules: [{D61937D6-44D0-4006-B1C1-85FB5ADD0E1B}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{F738A101-C242-4CF6-BAF1-DC4BFF48EF80}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{C03FFE6A-AEC1-4789-BB17-FDDDAF0E67CE}] => (Allow) C:\Program Files (x86)\Red Giant\Offload\Offload.exe => No File
FirewallRules: [{39AB8A21-4239-4CC2-9760-FA0998E82EB1}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [UDP Query User{083B04A0-0D73-4F8A-BA21-1DAB358373C7}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => No File
FirewallRules: [TCP Query User{91A8956B-29E9-43CD-BF27-99181165489A}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => No File
FirewallRules: [{A71561D3-D196-4914-948F-E26405B5A404}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS2A02\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{B1CF9893-9856-4014-BF47-2278F80BBFC7}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS2A02\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{3B29EC3A-2766-46B9-B15E-A508AA7017FA}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS299D\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{16D62F2D-91C2-4C4D-940B-F9677A5B9C92}] => (Allow) C:\Users\user\AppData\Local\Temp\7zS299D\HPDiagnosticCoreUI.exe => No File
FirewallRules: [{4DD38123-9A26-4352-9AB9-ED2E06CD7C93}] => (Allow) D:\steaM\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{042E44A8-FBDF-428F-9C9A-13EEBD89759B}] => (Allow) D:\steaM\bin\cef\cef.win7\steamwebhelper.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

[thyrex]

Что с проблемой?

[Андрей Махмудов]

43 минуты назад, thyrex сказал:

Что с проблемой?

Окно MDM  продолжает вылезать, на рабочем столе (без запущенных мною программ) используется 3 гб оперативной памяти, когда открываю диспетчер задач нагрузка на цп быстро снижается

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{DCACFDCF-9F8A-4A16-8C64-FFFA463F3C4E}] => cmd.exe /C start /D "C:\Users\user\AppData\Local\Temp" /B {DCACFDCF-9F8A-4A16-8C64-FFFA463F3C4E}.cmd
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
BootExecute: autocheck autochk * sh4native 7099
Task: {68C71EFD-3EF0-4C1D-88F4-CDB5103B68FB} - System32\Tasks\SpyHunter4Startup => D:\SpyHunter\SpyHunter4.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Андрей Махмудов]

3 часа назад, thyrex сказал:

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{DCACFDCF-9F8A-4A16-8C64-FFFA463F3C4E}] => cmd.exe /C start /D "C:\Users\user\AppData\Local\Temp" /B {DCACFDCF-9F8A-4A16-8C64-FFFA463F3C4E}.cmd
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
BootExecute: autocheck autochk * sh4native 7099
Task: {68C71EFD-3EF0-4C1D-88F4-CDB5103B68FB} - System32\Tasks\SpyHunter4Startup => D:\SpyHunter\SpyHunter4.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

Спасибо за ваше терпение)

Fixlog (1).txt

Изменено 11 декабря, 2020 пользователем Андрей Махмудов
Дополнение

[thyrex]

Это старый лог после выполнения предыдущего скрипта.

[Андрей Махмудов]

1 минуту назад, thyrex сказал:

Это старый лог после выполнения предыдущего скрипта.

Прошу прощения, вот новый.

Fixlog.txt

[thyrex]

Изменения есть?

[Андрей Махмудов]

нет