Перейти к содержанию
Правила раздела

[РЕШЕНО] Не известный вредный резидент (6 января 2021, Новосибирск)

ArtyomYurakov

Автор ArtyomYurakov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ArtyomYurakov

ArtyomYurakov

Опубликовано
Опубликовано (изменено)

Поведение: Ежечасно, в одну и ту же минуту запускает командную строку Windows. В открывающемся на мгновение окне иногда удаётся прочитать вызов файла: wbem.exe. Сделанные ранее вызовы запоминает, то есть не запускается дважды для одного и того же времени по системным часам.

 

Прочая информация: Угнездился на двух компьютерах через копирование файлов (которые в последствии были заподозрены пользователем как вирусоносные и удалены). Заражённые компьютеры между собой по сети не связаны. Уже почти неделю на обоих системах стоит пробная версия Kaspersky Internet Security и вирусов не видит. KVRT угроз не обнаружил. Среди автозагрузок ничего подозрительного не видно. Удаление пустых ссылок реестра через АutoRuns результатов не дало. Удаление подозрительных объектов (на этой системе их было найдено 16 штук) с помощью Malwarebytes результатов не дало. Вызываемый резидентом через командную строку файл wbem.exe средствами поиска Windows обнаружить не удалось.

CollectionLog-2021.01.11-07.50.zip

Изменено пользователем ArtyomYurakov
  • Ответов 30
  • Создана
  • Последний ответ

Топ авторов темы

  • ArtyomYurakov

    15

  • SQ

    11

  • regist

    4

  • Sandor

    1

Топ авторов темы

Популярные посты

SQ
SQ

Здравствуйте,   HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже. R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Pa

Sandor
Sandor

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия

SQ
SQ

Вам знакомы файлы следующего вида (python)? 2021-01-09 21:05 - 2021-01-09 21:05 - 000825081 ____A [5DF5C41D8FBD9F11932AA01B25F5BE69] () C:\Users\Человек\AppData\Local\TKKIV\WKWPD.py ====== End o

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1127.0.0.1:8080
O22 - Task: System config updates - C:\Users\Человек\AppData\Local\config\python\pythonw.exe C:\Users\Человек\AppData\Local\config\updater.py

 


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
  

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Человек\AppData\Local\config\updater.py','');
 QuarantineFile('C:\Users\Человек\AppData\Local\config\python\pythonw.exe','');
 DeleteFile('C:\Users\Человек\AppData\Local\config\python\pythonw.exe','64');
 DeleteFile('C:\Users\Человек\AppData\Local\config\updater.py','64');
 DeleteSchedulerTask('System config updates');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:


  

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.



quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора)

  • Нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).

  • Прикрепите отчет к своему следующему сообщению.

  • Спасибо (+1) 1
ArtyomYurakov

ArtyomYurakov

Опубликовано
  • Автор
Опубликовано

Здравствуйте! 

Все инструкции выполнены.

Примечание: после перезагрузки KAV обнаружил файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys   Класс: Riskware 

AdwCleaner[S00].txt

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Спасибо (+1) 1
SQ

SQ

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
Folder: C:\Users\Человек\AppData\Local\IVCKK
Folder: C:\Users\Человек\AppData\Local\JLRWV
Folder: C:\Users\Человек\AppData\Local\EOVKJ
Folder: C:\Users\Человек\AppData\Local\VPMVH
Folder: C:\Users\Человек\AppData\Local\UQWBG
Folder: C:\Users\Человек\AppData\Local\UIJGE
Folder: C:\Users\Человек\AppData\Local\JSXGJ
Folder: C:\Users\Человек\AppData\Local\UQRGY
Folder: C:\Users\Человек\AppData\Local\BHVMV
Folder: C:\Users\Человек\AppData\Local\RBYKT
Folder: C:\Users\Человек\AppData\Local\LWQUL
Folder: C:\Users\Человек\AppData\Local\ZZULR
Folder: C:\Users\Человек\AppData\Local\NMLLH
Folder: C:\Users\Человек\AppData\Local\LIEZM
Folder: C:\Users\Человек\AppData\Local\VARQW
Folder: C:\Users\Человек\AppData\Local\APHWX
Folder: C:\Users\Человек\AppData\Local\AUDVT
Folder: C:\Users\Человек\AppData\Local\GWDCQ
Folder: C:\Users\Человек\AppData\Local\CGIOQ
Folder: C:\Users\Человек\AppData\Local\ERVCO
Folder: C:\Users\Человек\AppData\Local\ZYOCE
Folder: C:\Users\Человек\AppData\Local\TKKIV
Folder: C:\Users\Человек\AppData\Local\TXBUY
Folder: C:\Users\Человек\AppData\Local\OFVSB
Folder: C:\Users\Человек\AppData\Local\CKKJT
Folder: C:\Users\Человек\AppData\Local\PUNGM
Folder: C:\Users\Человек\AppData\Local\OACMF
Folder: C:\Users\Человек\AppData\Local\CWQYS
Folder: C:\Users\Человек\AppData\Local\CBSBL
Folder: C:\Users\Человек\AppData\Local\VIRVD
Folder: C:\Users\Человек\AppData\Local\OHAYH
Folder: C:\Users\Человек\AppData\Local\RCMWG
Folder: C:\Users\Человек\AppData\Local\ENTBP
Folder: C:\Users\Человек\AppData\Local\EOEPE
Folder: C:\Users\Человек\AppData\Local\THMRG
Folder: C:\Users\Человек\AppData\Local\DGCTY
Folder: C:\Users\Человек\AppData\Local\SHYWN
Folder: C:\Users\Человек\AppData\Local\TNZGG
Folder: C:\Users\Человек\AppData\Local\ZLLOI
Folder: C:\Users\Человек\AppData\Local\LQZGU
Folder: C:\Users\Человек\AppData\Local\KZVGJ
Folder: C:\Users\Человек\AppData\Local\DLVTA
Folder: C:\Users\Человек\AppData\Local\RQHEZ
Folder: C:\Users\Человек\AppData\Local\SLJSS
Folder: C:\Users\Человек\AppData\Local\HJCUO
Folder: C:\Users\Человек\AppData\Local\BVJUU
Folder: C:\Users\Человек\AppData\Local\WYUWF
Folder: C:\Users\Человек\AppData\Local\HIZGI
Folder: C:\Users\Человек\AppData\Local\BEALX
Folder: C:\Users\Человек\AppData\Local\JESLE
Folder: C:\Users\Человек\AppData\Local\VOBSU
Folder: C:\Users\Человек\AppData\Local\PLHQH
Folder: C:\Users\Человек\AppData\Local\RHGRJ
Folder: C:\Users\Человек\AppData\Local\QXOXS
Folder: C:\Users\Человек\AppData\Local\UMNRK
Folder: C:\Users\Человек\AppData\Local\SVIDN
Folder: C:\Users\Человек\AppData\Local\LQDQI
Folder: C:\Users\Человек\AppData\Local\VQKDU
Folder: C:\Users\Человек\AppData\Local\XOACP
Folder: C:\Users\Человек\AppData\Local\PEDTY
Folder: C:\Users\Человек\AppData\Local\RKQWB
Folder: C:\Users\Человек\AppData\Local\AZBQS
Folder: C:\Users\Человек\AppData\Local\MEXZD
Folder: C:\Users\Человек\AppData\Local\AIQZJ
Folder: C:\Users\Человек\AppData\Local\XPGVW
Folder: C:\Users\Человек\AppData\Local\QTYKR
Folder: C:\Users\Человек\AppData\Local\CJGLA
Folder: C:\Users\Человек\AppData\Local\QIGUQ
Folder: C:\Users\Человек\AppData\Local\CBFTV
Folder: C:\Users\Человек\AppData\Local\RMTTT
Folder: C:\Users\Человек\AppData\Local\PBXYG
Folder: C:\Users\Человек\AppData\Local\EQLEK
Folder: C:\Users\Человек\AppData\Local\ZRFKQ
Folder: C:\Users\Человек\AppData\Local\RFVFQ
Folder: C:\Users\Человек\AppData\Local\VRNHK
Folder: C:\Users\Человек\AppData\Local\AVZUE
Folder: C:\Users\Человек\AppData\Local\BZJEB
Folder: C:\Users\Человек\AppData\Local\AUOYI
Folder: C:\Users\Человек\AppData\Local\EUCOH
Folder: C:\Users\Человек\AppData\Local\UWORJ
Folder: C:\Users\Человек\AppData\Local\WTVZW
Folder: C:\Users\Человек\AppData\Local\JMMAN
Folder: C:\Users\Человек\AppData\Local\SSQBB
Folder: C:\Users\Человек\AppData\Local\DRHUC
Folder: C:\Users\Человек\AppData\Local\FCTWM
Folder: C:\Users\Человек\AppData\Local\KQBJS
Folder: C:\Users\Человек\AppData\Local\QJBHF
Folder: C:\Users\Человек\AppData\Local\TRHYH
Folder: C:\Users\Человек\AppData\Local\OECTW
Folder: C:\Users\Человек\AppData\Local\TXQRA
Folder: C:\Users\Человек\AppData\Local\LILKL
Folder: C:\Users\Человек\AppData\Local\CYRCY
Folder: C:\Users\Человек\AppData\Local\FTUDD
Folder: C:\Users\Человек\AppData\Local\XHWHC
Folder: C:\Users\Человек\AppData\Local\MFQVW
Folder: C:\Users\Человек\AppData\Local\BRUIL
Folder: C:\Users\Человек\AppData\Local\UNCVC
Folder: C:\Users\Человек\AppData\Local\VBWXE
Folder: C:\Users\Человек\AppData\Local\ZPHML
Folder: C:\Users\Человек\AppData\Local\YYETF
Folder: C:\Users\Человек\AppData\Local\YSRHX
Folder: C:\Users\Человек\AppData\Local\XTGUL
Folder: C:\Users\Человек\AppData\Local\PMCZL
Folder: C:\Users\Человек\AppData\Local\FWTBN
File: C:\Users\Человек\nqo4f953Xq3qLsdJwUpN
FirewallRules: [TCP Query User{B47D63CC-B8DF-49D6-8E32-4A4FD3304A55}C:\games\soviet republic\soviet.exe] => (Block) C:\games\soviet republic\soviet.exe => No File
FirewallRules: [UDP Query User{41803C8D-EE39-4ACA-9877-7CD0F6A3549B}C:\games\soviet republic\soviet.exe] => (Block) C:\games\soviet republic\soviet.exe => No File
FirewallRules: [TCP Query User{90DA90DA-D08B-4CF0-B2CB-25EB020E5463}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => No File
FirewallRules: [UDP Query User{22B8537E-D601-40DD-A4C4-F37245812CDF}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => No File
FirewallRules: [TCP Query User{1B46DDE7-383C-40D2-B38B-4F855A65CAB3}C:\games\volcanoids\volcanoids.exe] => (Block) C:\games\volcanoids\volcanoids.exe => No File
FirewallRules: [UDP Query User{BC7309B2-FFAB-482C-AF1D-85520C96C5EC}C:\games\volcanoids\volcanoids.exe] => (Block) C:\games\volcanoids\volcanoids.exe => No File
FirewallRules: [TCP Query User{6E9B9C0D-8108-46FA-B160-FB7EE14368DE}D:\games\event 0\event0.exe] => (Block) D:\games\event 0\event0.exe => No File
FirewallRules: [UDP Query User{932F4960-8F16-45C1-87CB-7F5B7EBE13B1}D:\games\event 0\event0.exe] => (Block) D:\games\event 0\event0.exe => No File
FirewallRules: [TCP Query User{296F5E1C-9A59-42D2-A215-D36F21E45573}C:\games\event_0\event0.exe] => (Block) C:\games\event_0\event0.exe => No File
FirewallRules: [UDP Query User{B9CE461A-67D7-4AEB-A16D-02D3E6C450B1}C:\games\event_0\event0.exe] => (Block) C:\games\event_0\event0.exe => No File
FirewallRules: [{95E97552-64D0-44DC-8FC9-06A8143F0E29}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File
FirewallRules: [{EA442195-A798-4967-A062-C86519D75039}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File
FirewallRules: [TCP Query User{7656FC88-946B-4740-B7D7-1891D5C9A3C8}C:\games\adr1ft\adr1ft\binaries\win64\adr1ft-win64-shipping.exe] => (Block) C:\games\adr1ft\adr1ft\binaries\win64\adr1ft-win64-shipping.exe => No File
FirewallRules: [UDP Query User{2340337D-C499-4C32-9556-CEA2C57DCFDF}C:\games\adr1ft\adr1ft\binaries\win64\adr1ft-win64-shipping.exe] => (Block) C:\games\adr1ft\adr1ft\binaries\win64\adr1ft-win64-shipping.exe => No File
FirewallRules: [TCP Query User{924D6887-B4FB-4AC4-9D92-95214323EA9C}E:\games\event0\event0.exe] => (Block) E:\games\event0\event0.exe => No File
FirewallRules: [UDP Query User{DC8528E2-9950-4B2E-8E15-E785F2E0F752}E:\games\event0\event0.exe] => (Block) E:\games\event0\event0.exe => No File
FirewallRules: [TCP Query User{06FF5748-90A7-46D8-8399-71C112AC9479}C:\games\world of subways 4\bin\x64_release\wos4.exe] => (Block) C:\games\world of subways 4\bin\x64_release\wos4.exe => No File
FirewallRules: [UDP Query User{FE09F16B-8825-4D56-AF73-8EDA8ABF8CF4}C:\games\world of subways 4\bin\x64_release\wos4.exe] => (Block) C:\games\world of subways 4\bin\x64_release\wos4.exe => No File
FirewallRules: [TCP Query User{74173724-9797-4BD2-A8EB-DD18CAC1C2EC}C:\games\grav v9.7.15\binaries\win64\caggame-win64-shipping.exe] => (Block) C:\games\grav v9.7.15\binaries\win64\caggame-win64-shipping.exe => No File
FirewallRules: [UDP Query User{B6ECB6C3-1BD4-4687-9627-8C3FF1032699}C:\games\grav v9.7.15\binaries\win64\caggame-win64-shipping.exe] => (Block) C:\games\grav v9.7.15\binaries\win64\caggame-win64-shipping.exe => No File
FirewallRules: [TCP Query User{136EE72F-A4EE-49B7-B5F8-9DE098BCE220}C:\games\the vanishing of ethan carter\binaries\win64\astronautsgame-win64-shipping.exe] => (Block) C:\games\the vanishing of ethan carter\binaries\win64\astronautsgame-win64-shipping.exe => No File
FirewallRules: [UDP Query User{9E25886F-EB0A-4E5A-8DED-4A29A4130087}C:\games\the vanishing of ethan carter\binaries\win64\astronautsgame-win64-shipping.exe] => (Block) C:\games\the vanishing of ethan carter\binaries\win64\astronautsgame-win64-shipping.exe => No File
FirewallRules: [TCP Query User{7C599FAD-7B40-4B1A-B958-C00B04CAE57E}C:\games\cosmonautica\bin\cosmonautica.exe] => (Block) C:\games\cosmonautica\bin\cosmonautica.exe => No File
FirewallRules: [UDP Query User{CB14197D-FFC1-4D83-9A35-F34ECC90C54F}C:\games\cosmonautica\bin\cosmonautica.exe] => (Block) C:\games\cosmonautica\bin\cosmonautica.exe => No File
FirewallRules: [TCP Query User{093D7291-BEFC-4E96-8C89-0166CCD6666D}C:\games\pathologic 2\pathologic.exe] => (Block) C:\games\pathologic 2\pathologic.exe => No File
FirewallRules: [UDP Query User{17BA451A-B3F4-452F-9459-E0577B166D2C}C:\games\pathologic 2\pathologic.exe] => (Block) C:\games\pathologic 2\pathologic.exe => No File
FirewallRules: [TCP Query User{DCECED2C-4FD4-4B0B-8C30-CB96D06E52AD}C:\distr\ue44\ue44\engine\binaries\win64\ue4editor.exe] => (Block) C:\distr\ue44\ue44\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{3B0B59A8-4F09-4948-86B1-A08835E3B8EA}C:\distr\ue44\ue44\engine\binaries\win64\ue4editor.exe] => (Block) C:\distr\ue44\ue44\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{84B0473F-E4F9-4A49-95CB-80D60D8FAACD}C:\distr\ue44\ue44\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\distr\ue44\ue44\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [UDP Query User{11BEA522-82C2-47B0-8D8E-49346B19F732}C:\distr\ue44\ue44\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\distr\ue44\ue44\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [TCP Query User{414ADB18-8E71-44DA-96BD-886E7DCD9A3D}C:\distr\unreal engine 4.9.0 improvable\engine\binaries\win64\ue4editor.exe] => (Block) C:\distr\unreal engine 4.9.0 improvable\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{1C7EB658-4E0A-44C2-A882-FB86E2FEC8E0}C:\distr\unreal engine 4.9.0 improvable\engine\binaries\win64\ue4editor.exe] => (Block) C:\distr\unreal engine 4.9.0 improvable\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{AE0DE7C4-5CBC-4499-A992-B8FDF5539C10}C:\softbuilding\unreal engine 4\engine\binaries\win64\ue4editor.exe] => (Block) C:\softbuilding\unreal engine 4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{50D13F73-28F9-4A4A-B1D0-D5A2FCF2B3E1}C:\softbuilding\unreal engine 4\engine\binaries\win64\ue4editor.exe] => (Block) C:\softbuilding\unreal engine 4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{9C464716-F497-4442-9020-5C78BA6BFF70}C:\softbuilding\unreal engine 4\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\softbuilding\unreal engine 4\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [UDP Query User{07E2FA17-2326-4EB6-877D-559415642EE6}C:\softbuilding\unreal engine 4\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\softbuilding\unreal engine 4\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [TCP Query User{8192B11D-308B-4AEA-AFF6-60CBEB7816B2}C:\unreal engine 4.9\engine\binaries\win64\ue4editor.exe] => (Block) C:\unreal engine 4.9\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{5C8F94BF-3D75-4A9E-8B74-CED0AF32BE50}C:\unreal engine 4.9\engine\binaries\win64\ue4editor.exe] => (Block) C:\unreal engine 4.9\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{F5268971-3413-4411-9074-F85E0D474D2E}C:\unreal engine 4.9\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\unreal engine 4.9\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [UDP Query User{F3E74C54-ED01-4ECA-8531-3BAC17EC5CEE}C:\unreal engine 4.9\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\unreal engine 4.9\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [TCP Query User{AADC3A42-D04D-403F-85BB-0319B4580888}C:\unreal engine 4\engine\binaries\win64\ue4editor.exe] => (Block) C:\unreal engine 4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{0C4F473A-0AA2-4073-A3CB-6714A945FF97}C:\unreal engine 4\engine\binaries\win64\ue4editor.exe] => (Block) C:\unreal engine 4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{A105389D-DB98-48A9-9962-98F668AA2EEF}C:\unreal engine 4\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\unreal engine 4\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [UDP Query User{65319508-8BE7-4E20-9C1E-FF25ED600C33}C:\unreal engine 4\engine\binaries\dotnet\swarmagent.exe] => (Block) C:\unreal engine 4\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [TCP Query User{55A29844-9FDB-4999-9F11-1007E3734E08}C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe => No File
FirewallRules: [UDP Query User{A97A69B1-F4C7-4786-8E19-40E249EC14FD}C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) C:\program files (x86)\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe => No File
FirewallRules: [TCP Query User{575EA150-2E5B-4446-B61D-74C9D1B00086}E:\unrealengine\engine\binaries\win64\ue4editor.exe] => (Block) E:\unrealengine\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{235BA96C-DCE9-42BE-AF1E-87615EA2DC70}E:\unrealengine\engine\binaries\win64\ue4editor.exe] => (Block) E:\unrealengine\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{8D438AD4-FF55-4C0D-8A39-202DAA0CFE4A}E:\unrealengine\engine\binaries\dotnet\swarmagent.exe] => (Block) E:\unrealengine\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [UDP Query User{EFDC36AF-750D-4199-B4E5-E6750AC77F74}E:\unrealengine\engine\binaries\dotnet\swarmagent.exe] => (Block) E:\unrealengine\engine\binaries\dotnet\swarmagent.exe => No File
FirewallRules: [TCP Query User{0BC20A8B-3830-497B-B758-4376CDE25073}E:\unrealengine4\engine\binaries\win64\ue4editor.exe] => (Block) E:\unrealengine4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{1EE7593E-2D2D-4CE9-8D4C-7528145B6D61}E:\unrealengine4\engine\binaries\win64\ue4editor.exe] => (Block) E:\unrealengine4\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{1E578D4D-6CF6-44BC-BF17-6F218DCF9E57}E:\ue4_\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4_\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{F3A5D851-7FAC-4901-A442-6916923D84A7}E:\ue4_\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4_\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{2B10EFB4-EBB0-41E4-9ACF-0ABCBB523368}E:\ue4_changed\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4_changed\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{A2FAE158-2346-434C-96CF-95A68B490FAE}E:\ue4_changed\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4_changed\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{C6ACC48C-2A48-4931-B205-C05F180C9B8E}E:\ue4000\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4000\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [UDP Query User{E8FF0364-F678-452D-A16E-7E0453143F84}E:\ue4000\engine\binaries\win64\ue4editor.exe] => (Block) E:\ue4000\engine\binaries\win64\ue4editor.exe => No File
FirewallRules: [TCP Query User{EE89B9F9-ED69-49A2-8074-BDA4299AA742}C:\users\человек\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\человек\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [UDP Query User{F3BA2DC7-4D63-4B8D-AD9A-83E2D3D71A0D}C:\users\человек\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\человек\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [TCP Query User{DB62110B-527D-428E-BD54-3E7057ABECB2}C:\games\soviet republic\soviet32.exe] => (Block) C:\games\soviet republic\soviet32.exe => No File
FirewallRules: [UDP Query User{AF5C3AA6-45EF-4E8D-95A1-EE3D112FA2D9}C:\games\soviet republic\soviet32.exe] => (Block) C:\games\soviet republic\soviet32.exe => No File
FirewallRules: [TCP Query User{595FBFF9-E1EB-4A90-A25F-626D8CD94CB7}C:\games\soviet republic\soviet64.exe] => (Block) C:\games\soviet republic\soviet64.exe => No File
FirewallRules: [UDP Query User{0430D3F9-A60F-43AF-BE26-3050EA7F0E08}C:\games\soviet republic\soviet64.exe] => (Block) C:\games\soviet republic\soviet64.exe => No File
FirewallRules: [TCP Query User{B2E3E038-3155-4ED5-BD00-48731A7E7D19}C:\games\the wild eight\wildeight.exe] => (Block) C:\games\the wild eight\wildeight.exe => No File
FirewallRules: [UDP Query User{A9CAE066-F724-48D3-8752-0D81E103AF47}C:\games\the wild eight\wildeight.exe] => (Block) C:\games\the wild eight\wildeight.exe => No File
FirewallRules: [TCP Query User{D736A3FA-4DAE-4803-B9A7-AD1571FED3A2}D:\архивы программ\transport fever 2\transportfever2.exe] => (Block) D:\архивы программ\transport fever 2\transportfever2.exe => No File
FirewallRules: [UDP Query User{6C1C0A5C-6A64-47DF-B6A4-88435BB4D4C7}D:\архивы программ\transport fever 2\transportfever2.exe] => (Block) D:\архивы программ\transport fever 2\transportfever2.exe => No File
FirewallRules: [TCP Query User{73B861AF-E743-4E07-ABD3-A8DE362B06DD}C:\distr\workers resources soviet republic (early access 0.8.0.8)\setupapplication soviet.exe] => (Block) C:\distr\workers resources soviet republic (early access 0.8.0.8)\setupapplication soviet.exe => No File
FirewallRules: [UDP Query User{E84CBA82-F4C6-4B91-8387-D813BCB8C767}C:\distr\workers resources soviet republic (early access 0.8.0.8)\setupapplication soviet.exe] => (Block) C:\distr\workers resources soviet republic (early access 0.8.0.8)\setupapplication soviet.exe => No File
FirewallRules: [TCP Query User{4C2C1462-D4C3-452F-ADA8-F5D6CE8E1598}C:\distr\workers resources soviet republic (early access 0.8.0.8)\soviet64.exe] => (Block) C:\distr\workers resources soviet republic (early access 0.8.0.8)\soviet64.exe => No File
FirewallRules: [UDP Query User{3CE52EF9-EC9F-40E7-9BDE-7BF5A7398209}C:\distr\workers resources soviet republic (early access 0.8.0.8)\soviet64.exe] => (Block) C:\distr\workers resources soviet republic (early access 0.8.0.8)\soviet64.exe => No File
FirewallRules: [TCP Query User{DE113012-44BA-481F-8BC3-FB43A135824D}C:\games\crossout\launcher.exe] => (Block) C:\games\crossout\launcher.exe => No File
FirewallRules: [UDP Query User{D6E3EB2D-83AA-4A3A-B537-418E028CFC50}C:\games\crossout\launcher.exe] => (Block) C:\games\crossout\launcher.exe => No File
FirewallRules: [TCP Query User{C0792B04-9F0E-4B4D-9896-9C1C1F674AE9}C:\games\warthunder\launcher.exe] => (Block) C:\games\warthunder\launcher.exe => No File
FirewallRules: [UDP Query User{3EFB6359-E431-4355-8153-F15B7E7D9712}C:\games\warthunder\launcher.exe] => (Block) C:\games\warthunder\launcher.exe => No File
FirewallRules: [TCP Query User{2C59B57D-B570-460D-B10A-91BD902C70A7}C:\games\warthunder\win64\aces.exe] => (Block) C:\games\warthunder\win64\aces.exe => No File
FirewallRules: [UDP Query User{6F21BD93-BAF7-453F-AAC9-7B1FDE679237}C:\games\warthunder\win64\aces.exe] => (Block) C:\games\warthunder\win64\aces.exe => No File
FirewallRules: [TCP Query User{5902F568-0ED3-4408-B56C-D88EA44C8D27}C:\games\satisfactory\factorygame\binaries\win64\factorygame-win64-shipping.exe] => (Block) C:\games\satisfactory\factorygame\binaries\win64\factorygame-win64-shipping.exe => No File
FirewallRules: [UDP Query User{7FDF388B-AA7A-488D-920A-3DFCF233D178}C:\games\satisfactory\factorygame\binaries\win64\factorygame-win64-shipping.exe] => (Block) C:\games\satisfactory\factorygame\binaries\win64\factorygame-win64-shipping.exe => No File
FirewallRules: [TCP Query User{0B3E1AD1-4E45-4294-AE73-1BA7CBEE2F39}C:\games\everybodys gone to the rapture\bin64\rapture_release.exe] => (Block) C:\games\everybodys gone to the rapture\bin64\rapture_release.exe => No File
FirewallRules: [UDP Query User{FC3DACA8-D577-45D2-B510-C1278E305BEC}C:\games\everybodys gone to the rapture\bin64\rapture_release.exe] => (Block) C:\games\everybodys gone to the rapture\bin64\rapture_release.exe => No File
FirewallRules: [TCP Query User{4F56AF77-500E-4EF5-95B4-A58527AC79AE}C:\games\hearts of iron iv\hoi4.exe] => (Block) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [UDP Query User{290C7D8B-147E-4ED4-A598-F96F091CB73A}C:\games\hearts of iron iv\hoi4.exe] => (Block) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [TCP Query User{E5C3A3AB-E579-4500-BBE8-9DEFA98DCE1D}C:\games\bus simulator 18\bussimulator18\binaries\win64\bussimulator18-win64-shipping.exe] => (Block) C:\games\bus simulator 18\bussimulator18\binaries\win64\bussimulator18-win64-shipping.exe => No File
FirewallRules: [UDP Query User{52E61863-A250-4BDE-8E81-1C56EAA69AA1}C:\games\bus simulator 18\bussimulator18\binaries\win64\bussimulator18-win64-shipping.exe] => (Block) C:\games\bus simulator 18\bussimulator18\binaries\win64\bussimulator18-win64-shipping.exe => No File
FirewallRules: [TCP Query User{3D624A30-D547-4541-8641-55341AB3CE6C}C:\games\far cry primal\bin\fcprimal.exe] => (Block) C:\games\far cry primal\bin\fcprimal.exe => No File
FirewallRules: [UDP Query User{99EF9D52-F102-467C-93A9-4C914269A318}C:\games\far cry primal\bin\fcprimal.exe] => (Block) C:\games\far cry primal\bin\fcprimal.exe => No File
FirewallRules: [TCP Query User{7E6EF2EA-B29B-4170-B667-E84AD8BA3C82}C:\games\satisfactoryexperimental\factorygame\binaries\win64\factorygame-win64-shipping.exe] => (Block) C:\games\satisfactoryexperimental\factorygame\binaries\win64\factorygame-win64-shipping.exe => No File
FirewallRules: [UDP Query User{77F5C426-37A6-4512-9008-79FEFD446299}C:\games\satisfactoryexperimental\factorygame\binaries\win64\factorygame-win64-shipping.exe] => (Block) C:\games\satisfactoryexperimental\factorygame\binaries\win64\factorygame-win64-shipping.exe => No File
FirewallRules: [TCP Query User{226F7C02-308F-4ABF-B42A-5DDE879DD4FE}C:\program files (x86)\vb\voicemeeter\voicemeeter8x64.exe] => (Allow) C:\program files (x86)\vb\voicemeeter\voicemeeter8x64.exe => No File
FirewallRules: [UDP Query User{2DBD60E6-1ED8-4E3E-946C-4443FF697895}C:\program files (x86)\vb\voicemeeter\voicemeeter8x64.exe] => (Allow) C:\program files (x86)\vb\voicemeeter\voicemeeter8x64.exe => No File
FirewallRules: [TCP Query User{CD43FF5C-EC4D-4908-AA64-188375556059}C:\program files (x86)\vb\voicemeeter\vban2midi.exe] => (Block) C:\program files (x86)\vb\voicemeeter\vban2midi.exe => No File
FirewallRules: [UDP Query User{9A2D97F4-90B1-4D00-B28C-0F7632492448}C:\program files (x86)\vb\voicemeeter\vban2midi.exe] => (Block) C:\program files (x86)\vb\voicemeeter\vban2midi.exe => No File
FirewallRules: [TCP Query User{74E2F169-C329-4BFA-8645-857259563B7D}C:\games\fallout 4\fallout4.exe] => (Block) C:\games\fallout 4\fallout4.exe => No File
FirewallRules: [UDP Query User{94BDC2DA-5982-426D-BDB4-F11348B3252C}C:\games\fallout 4\fallout4.exe] => (Block) C:\games\fallout 4\fallout4.exe => No File
FirewallRules: [TCP Query User{8F4ECF10-14A4-40D9-83FF-F5D1059A6887}C:\games\event[0]\event0.exe] => (Block) C:\games\event[0]\event0.exe => No File
FirewallRules: [UDP Query User{B320B2B9-B3EF-4795-BD40-C3392C5611CE}C:\games\event[0]\event0.exe] => (Block) C:\games\event[0]\event0.exe => No File
FirewallRules: [TCP Query User{2EA49420-671A-42CB-8DE7-D397F9E6491D}E:\games\the long dark wintermute episode 3\tld.exe] => (Block) E:\games\the long dark wintermute episode 3\tld.exe => No File
FirewallRules: [UDP Query User{6B9D1E57-C7C5-449A-8D4F-67ACDF627FE0}E:\games\the long dark wintermute episode 3\tld.exe] => (Block) E:\games\the long dark wintermute episode 3\tld.exe => No File
FirewallRules: [TCP Query User{B6C24322-9479-4DE0-A306-EA25851A9C81}E:\games\thelongdark\tld.exe] => (Block) E:\games\thelongdark\tld.exe => No File
FirewallRules: [UDP Query User{108CB3D2-A00B-40AD-A9F7-12778ABB1885}E:\games\thelongdark\tld.exe] => (Block) E:\games\thelongdark\tld.exe => No File
FirewallRules: [TCP Query User{E56F62F1-538F-400A-8EF3-4C67A362FF16}E:\games\drug dealer simulator\drugdealersimulator\binaries\win64\drugdealersimulator-win64-shipping.exe] => (Block) E:\games\drug dealer simulator\drugdealersimulator\binaries\win64\drugdealersimulator-win64-shipping.exe => No File
FirewallRules: [UDP Query User{5673B357-8EE6-4741-BCE9-1EA6F53A6543}E:\games\drug dealer simulator\drugdealersimulator\binaries\win64\drugdealersimulator-win64-shipping.exe] => (Block) E:\games\drug dealer simulator\drugdealersimulator\binaries\win64\drugdealersimulator-win64-shipping.exe => No File
FirewallRules: [TCP Query User{EBC34013-AD7C-4861-9A49-4A20D1D8D8F4}E:\games\farming simulator 19\x64\farmingsimulator2019game.exe] => (Block) E:\games\farming simulator 19\x64\farmingsimulator2019game.exe => No File
FirewallRules: [UDP Query User{AB8A8BF4-A2E0-43C3-A512-B8239602A05C}E:\games\farming simulator 19\x64\farmingsimulator2019game.exe] => (Block) E:\games\farming simulator 19\x64\farmingsimulator2019game.exe => No File
FirewallRules: [TCP Query User{DD6C95B9-1A34-48F7-9C0A-5AC13CD1148B}C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe] => (Block) C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe => No File
FirewallRules: [UDP Query User{8A5FABCB-881A-42E8-8132-0DBCDE66A848}C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe] => (Block) C:\program files (x86)\epic games\launcher\portal\binaries\win32\epicgameslauncher.exe => No File
FirewallRules: [TCP Query User{E8395A74-FA3C-439C-A889-B0C807F47E60}F:\games\metro.sim.hustle.v0.9.9\metro sim hustle.exe] => (Block) F:\games\metro.sim.hustle.v0.9.9\metro sim hustle.exe => No File
FirewallRules: [UDP Query User{F3169603-BA03-4ACF-994E-89A731196FB8}F:\games\metro.sim.hustle.v0.9.9\metro sim hustle.exe] => (Block) F:\games\metro.sim.hustle.v0.9.9\metro sim hustle.exe => No File
FirewallRules: [TCP Query User{E24F2C58-3D2E-4057-9120-D490E5AF850C}F:\games\soviet republic\soviet64.exe] => (Block) F:\games\soviet republic\soviet64.exe => No File
FirewallRules: [UDP Query User{F44F761B-344B-405B-9C79-A8CAE4F4BB55}F:\games\soviet republic\soviet64.exe] => (Block) F:\games\soviet republic\soviet64.exe => No File
FirewallRules: [TCP Query User{6F70A5DC-B884-4BEF-A945-D406FDEDEBB1}F:\games\soviet republic\setupapplication soviet.exe] => (Block) F:\games\soviet republic\setupapplication soviet.exe => No File
FirewallRules: [UDP Query User{1D44498F-1AD0-4A42-B27D-8FE991C8A035}F:\games\soviet republic\setupapplication soviet.exe] => (Block) F:\games\soviet republic\setupapplication soviet.exe => No File
FirewallRules: [{A1B55529-11A2-42D9-BF12-DFC4205A2F88}] => (Allow) C:\Users\Человек\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
End::


2. Скопируйте выделенный текст (правая кнопка мыши  Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.
SQ

SQ

Опубликовано
Опубликовано

Вам знакомы файлы следующего вида (python)? 


2021-01-09 21:05 - 2021-01-09 21:05 - 000825081 ____A [5DF5C41D8FBD9F11932AA01B25F5BE69] () C:\Users\Человек\AppData\Local\TKKIV\WKWPD.py

====== End of Folder: ======


========================= Folder: C:\Users\Человек\AppData\Local\TXBUY ========================

2021-01-09 20:05 - 2021-01-09 20:05 - 000825081 ____A [5DF5C41D8FBD9F11932AA01B25F5BE69] () C:\Users\Человек\AppData\Local\TXBUY\JZPXH.py

 

  • Like (+1) 1
ArtyomYurakov

ArtyomYurakov

Опубликовано
  • Автор
Опубликовано (изменено)
1 hour ago, SQ said:

Вам знакомы файлы следующего вида (python)?

Да. Python - это язык программирования, популярный при создании open source проектов. Практически сразу после появления проблемы (6 января) я закрыл подозрительные процессы через Диспетчер задач и выполнил через Windows поиск новых файлов. Была найдена свежая папка похожая на AppData\Local\Programs\Python\Python36-32\ которую я удалил, не долго думая. Потом через AutoRuns выяснилось, что Питон прописался и в автозагрузку. Удалил ссылку. На папки вида AppData\Local\TKKIV тогда особого внимания не обратил, их было одна - две. Сейчас их стало намного больше и у каждой время создания Х часов 05 минут. Это именно то время, когда вредный резидент выполнял запросы через командную строку. Последняя папка была создана вчера в 9:05 (NSK), то есть незадолго до того как я выполнил присланный скрипт. С тех пор подобных папок не создаётся, за что Вам спасибо! 

 

Что делать с этими папками и файлами? Их можно просто удалить или нужны для опытов?

Изменено пользователем ArtyomYurakov
regist

regist

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

+ свежие логи FRST соберите.

regist

regist

Опубликовано
Опубликовано

Python 3.6.8 (32-bit) - я так понимаю сами не ставили? Деинсталируйте тогда его, а то  у вас полный пакет питона с дополнениями стоит.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1791092331-3233558559-95803741-1001\...\Policies\Explorer: [NoSecurityTab] 1
2021-01-11 09:05 - 2021-01-11 09:05 - 000000000 ____D C:\Users\Человек\AppData\Local\IVCKK
2021-01-11 08:05 - 2021-01-11 08:05 - 000000000 ____D C:\Users\Человек\AppData\Local\JLRWV
2021-01-11 06:05 - 2021-01-11 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\EOVKJ
2021-01-11 05:34 - 2021-01-11 07:13 - 000000000 ____D C:\Users\Человек\AppData\LocalLow\IGDump
2021-01-11 05:05 - 2021-01-11 05:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VPMVH
2021-01-11 04:05 - 2021-01-11 04:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UQWBG
2021-01-11 03:05 - 2021-01-11 03:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UIJGE
2021-01-11 02:05 - 2021-01-11 02:05 - 000000000 ____D C:\Users\Человек\AppData\Local\JSXGJ
2021-01-11 01:05 - 2021-01-11 01:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UQRGY
2021-01-11 00:05 - 2021-01-11 00:05 - 000000000 ____D C:\Users\Человек\AppData\Local\BHVMV
2021-01-10 23:05 - 2021-01-10 23:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RBYKT
2021-01-10 22:07 - 2021-01-10 22:07 - 000000000 ____D C:\Users\Человек\AppData\Local\LWQUL
2021-01-10 07:05 - 2021-01-10 07:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ZZULR
2021-01-10 06:07 - 2021-01-10 06:07 - 000000000 ____D C:\Users\Человек\AppData\Local\NMLLH
2021-01-10 05:05 - 2021-01-10 05:05 - 000000000 ____D C:\Users\Человек\AppData\Local\LIEZM
2021-01-10 04:05 - 2021-01-10 04:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VARQW
2021-01-10 03:05 - 2021-01-10 03:05 - 000000000 ____D C:\Users\Человек\AppData\Local\APHWX
2021-01-10 02:05 - 2021-01-10 02:05 - 000000000 ____D C:\Users\Человек\AppData\Local\AUDVT
2021-01-10 01:05 - 2021-01-10 01:05 - 000000000 ____D C:\Users\Человек\AppData\Local\GWDCQ
2021-01-10 00:05 - 2021-01-10 00:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CGIOQ
2021-01-09 23:05 - 2021-01-09 23:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ERVCO
2021-01-09 22:05 - 2021-01-09 22:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ZYOCE
2021-01-09 21:05 - 2021-01-09 21:05 - 000000000 ____D C:\Users\Человек\AppData\Local\TKKIV
2021-01-09 20:05 - 2021-01-09 20:05 - 000000000 ____D C:\Users\Человек\AppData\Local\TXBUY
2021-01-09 19:05 - 2021-01-09 19:05 - 000000000 ____D C:\Users\Человек\AppData\Local\OFVSB
2021-01-09 18:05 - 2021-01-09 18:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CKKJT
2021-01-09 17:05 - 2021-01-09 17:05 - 000000000 ____D C:\Users\Человек\AppData\Local\PUNGM
2021-01-09 16:05 - 2021-01-09 16:05 - 000000000 ____D C:\Users\Человек\AppData\Local\OACMF
2021-01-09 15:05 - 2021-01-09 15:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CWQYS
2021-01-09 14:05 - 2021-01-09 14:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CBSBL
2021-01-09 13:05 - 2021-01-09 13:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VIRVD
2021-01-09 12:05 - 2021-01-09 12:05 - 000000000 ____D C:\Users\Человек\AppData\Local\OHAYH
2021-01-09 11:05 - 2021-01-09 11:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RCMWG
2021-01-09 10:05 - 2021-01-09 10:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ENTBP
2021-01-09 09:05 - 2021-01-09 09:05 - 000000000 ____D C:\Users\Человек\AppData\Local\EOEPE
2021-01-09 08:05 - 2021-01-09 08:05 - 000000000 ____D C:\Users\Человек\AppData\Local\THMRG
2021-01-09 07:05 - 2021-01-09 07:05 - 000000000 ____D C:\Users\Человек\AppData\Local\DGCTY
2021-01-09 06:05 - 2021-01-09 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\SHYWN
2021-01-09 05:05 - 2021-01-09 05:05 - 000000000 ____D C:\Users\Человек\AppData\Local\TNZGG
2021-01-09 04:05 - 2021-01-09 04:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ZLLOI
2021-01-09 03:05 - 2021-01-09 03:05 - 000000000 ____D C:\Users\Человек\AppData\Local\LQZGU
2021-01-09 02:05 - 2021-01-09 02:05 - 000000000 ____D C:\Users\Человек\AppData\Local\KZVGJ
2021-01-09 01:05 - 2021-01-09 01:05 - 000000000 ____D C:\Users\Человек\AppData\Local\DLVTA
2021-01-09 00:05 - 2021-01-09 00:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RQHEZ
2021-01-08 23:05 - 2021-01-08 23:05 - 000000000 ____D C:\Users\Человек\AppData\Local\SLJSS
2021-01-08 22:05 - 2021-01-08 22:05 - 000000000 ____D C:\Users\Человек\AppData\Local\HJCUO
2021-01-08 21:05 - 2021-01-08 21:05 - 000000000 ____D C:\Users\Человек\AppData\Local\BVJUU
2021-01-08 15:05 - 2021-01-08 15:05 - 000000000 ____D C:\Users\Человек\AppData\Local\WYUWF
2021-01-08 14:05 - 2021-01-08 14:05 - 000000000 ____D C:\Users\Человек\AppData\Local\HIZGI
2021-01-08 13:05 - 2021-01-08 13:05 - 000000000 ____D C:\Users\Человек\AppData\Local\BEALX
2021-01-08 12:05 - 2021-01-08 12:05 - 000000000 ____D C:\Users\Человек\AppData\Local\JESLE
2021-01-08 11:05 - 2021-01-08 11:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VOBSU
2021-01-08 10:05 - 2021-01-08 10:05 - 000000000 ____D C:\Users\Человек\AppData\Local\PLHQH
2021-01-08 09:05 - 2021-01-08 09:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RHGRJ
2021-01-08 08:05 - 2021-01-08 08:05 - 000000000 ____D C:\Users\Человек\AppData\Local\QXOXS
2021-01-08 07:05 - 2021-01-08 07:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UMNRK
2021-01-08 06:05 - 2021-01-08 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\SVIDN
2021-01-08 05:05 - 2021-01-08 05:05 - 000000000 ____D C:\Users\Человек\AppData\Local\LQDQI
2021-01-08 04:05 - 2021-01-08 04:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VQKDU
2021-01-08 03:05 - 2021-01-08 03:05 - 000000000 ____D C:\Users\Человек\AppData\Local\XOACP
2021-01-08 02:05 - 2021-01-08 02:05 - 000000000 ____D C:\Users\Человек\AppData\Local\PEDTY
2021-01-08 01:05 - 2021-01-08 01:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RKQWB
2021-01-08 00:05 - 2021-01-08 00:05 - 000000000 ____D C:\Users\Человек\AppData\Local\AZBQS
2021-01-07 23:05 - 2021-01-07 23:05 - 000000000 ____D C:\Users\Человек\AppData\Local\MEXZD
2021-01-07 22:05 - 2021-01-07 22:05 - 000000000 ____D C:\Users\Человек\AppData\Local\AIQZJ
2021-01-07 21:05 - 2021-01-07 21:05 - 000000000 ____D C:\Users\Человек\AppData\Local\XPGVW
2021-01-07 20:05 - 2021-01-07 20:05 - 000000000 ____D C:\Users\Человек\AppData\Local\QTYKR
2021-01-07 19:05 - 2021-01-07 19:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CJGLA
2021-01-07 18:05 - 2021-01-07 18:05 - 000000000 ____D C:\Users\Человек\AppData\Local\QIGUQ
2021-01-07 17:05 - 2021-01-07 17:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CBFTV
2021-01-07 16:05 - 2021-01-07 16:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RMTTT
2021-01-07 15:05 - 2021-01-07 15:05 - 000000000 ____D C:\Users\Человек\AppData\Local\PBXYG
2021-01-07 14:05 - 2021-01-07 14:05 - 000000000 ____D C:\Users\Человек\AppData\Local\EQLEK
2021-01-07 13:05 - 2021-01-07 13:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ZRFKQ
2021-01-07 12:05 - 2021-01-07 12:05 - 000000000 ____D C:\Users\Человек\AppData\Local\RFVFQ
2021-01-07 11:05 - 2021-01-07 11:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VRNHK
2021-01-07 10:05 - 2021-01-07 10:05 - 000000000 ____D C:\Users\Человек\AppData\Local\AVZUE
2021-01-07 09:05 - 2021-01-07 09:05 - 000000000 ____D C:\Users\Человек\AppData\Local\BZJEB
2021-01-07 08:05 - 2021-01-07 08:05 - 000000000 ____D C:\Users\Человек\AppData\Local\AUOYI
2021-01-07 07:05 - 2021-01-07 07:05 - 000000000 ____D C:\Users\Человек\AppData\Local\EUCOH
2021-01-07 06:05 - 2021-01-07 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UWORJ
2021-01-07 05:05 - 2021-01-07 05:05 - 000000000 ____D C:\Users\Человек\AppData\Local\WTVZW
2021-01-07 04:05 - 2021-01-07 04:05 - 000000000 ____D C:\Users\Человек\AppData\Local\JMMAN
2021-01-07 03:05 - 2021-01-07 03:05 - 000000000 ____D C:\Users\Человек\AppData\Local\SSQBB
2021-01-07 02:05 - 2021-01-07 02:05 - 000000000 ____D C:\Users\Человек\AppData\Local\DRHUC
2021-01-07 01:05 - 2021-01-07 01:05 - 000000000 ____D C:\Users\Человек\AppData\Local\FCTWM
2021-01-07 00:05 - 2021-01-07 00:05 - 000000000 ____D C:\Users\Человек\AppData\Local\KQBJS
2021-01-06 23:05 - 2021-01-06 23:05 - 000000000 ____D C:\Users\Человек\AppData\Local\QJBHF
2021-01-06 22:05 - 2021-01-06 22:05 - 000000000 ____D C:\Users\Человек\AppData\Local\TRHYH
2021-01-06 21:05 - 2021-01-06 21:05 - 000000000 ____D C:\Users\Человек\AppData\Local\OECTW
2021-01-06 20:05 - 2021-01-06 20:05 - 000000000 ____D C:\Users\Человек\AppData\Local\TXQRA
2021-01-06 19:05 - 2021-01-06 19:05 - 000000000 ____D C:\Users\Человек\AppData\Local\LILKL
2021-01-06 18:05 - 2021-01-06 18:05 - 000000000 ____D C:\Users\Человек\AppData\Local\CYRCY
2021-01-06 17:05 - 2021-01-06 17:05 - 000000000 ____D C:\Users\Человек\AppData\Local\FTUDD
2021-01-06 16:05 - 2021-01-06 16:05 - 000000000 ____D C:\Users\Человек\AppData\Local\XHWHC
2021-01-06 15:05 - 2021-01-06 15:05 - 000000000 ____D C:\Users\Человек\AppData\Local\MFQVW
2021-01-06 14:05 - 2021-01-06 14:05 - 000000000 ____D C:\Users\Человек\AppData\Local\BRUIL
2021-01-06 13:05 - 2021-01-06 13:05 - 000000000 ____D C:\Users\Человек\AppData\Local\UNCVC
2021-01-06 12:05 - 2021-01-06 12:05 - 000000000 ____D C:\Users\Человек\AppData\Local\VBWXE
2021-01-06 11:05 - 2021-01-06 11:05 - 000000000 ____D C:\Users\Человек\AppData\Local\ZPHML
2021-01-06 10:05 - 2021-01-06 10:05 - 000000000 ____D C:\Users\Человек\AppData\Local\YYETF
2021-01-06 09:05 - 2021-01-06 09:05 - 000000000 ____D C:\Users\Человек\AppData\Local\YSRHX
2021-01-06 08:05 - 2021-01-06 08:05 - 000000000 ____D C:\Users\Человек\AppData\Local\XTGUL
2021-01-06 07:05 - 2021-01-06 07:05 - 000000000 ____D C:\Users\Человек\AppData\Local\PMCZL
2021-01-06 06:05 - 2021-01-06 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\FWTBN
2021-01-06 04:08 - 2021-01-06 04:08 - 000000770 _____ C:\Users\Человек\nqo4f953Xq3qLsdJwUpN
2021-01-06 03:59 - 2021-01-06 06:05 - 000000000 ____D C:\Users\Человек\AppData\Local\mrJWF
MSCONFIG\Services: MBAMService => 2
EmptyTemp:
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

И если прокси сами не прописывали, то

<p><a href="https://safezone.cc/threads/9/">"Пофиксите" в HijackThis из папки Автологера</a>:</p>
<pre class="ipsCode">

R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1127.0.0.1:8080</pre>

 

 

 

 

 

ArtyomYurakov

ArtyomYurakov

Опубликовано
  • Автор
Опубликовано

1.Выполнил FRST64.exe c указанными параметрами.  

2. Python 3.6.8 (32-bit) я не устанавливал. В списке программ он есть, дата установки обозначена сегодняшняя 12.01.2021. Деинсталлировать его не получается - установщик выдаёт сообщение "No Python 3.6 installation was detected". Удалить Python из списка программ тоже не предлагается. На всякий случай прикрепляю отчёт деинсталлятора тоже.

Fixlog.txt Python 3.6.8 (32-bit)_20210112191739.log.txt

SQ

SQ

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
C:\Users\Человек\AppData\Local\IVCKK
C:\Users\Человек\AppData\Local\JLRWV
C:\Users\Человек\AppData\Local\EOVKJ
C:\Users\Человек\AppData\Local\VPMVH
C:\Users\Человек\AppData\Local\UQWBG
C:\Users\Человек\AppData\Local\UIJGE
C:\Users\Человек\AppData\Local\JSXGJ
C:\Users\Человек\AppData\Local\UQRGY
C:\Users\Человек\AppData\Local\BHVMV
C:\Users\Человек\AppData\Local\RBYKT
C:\Users\Человек\AppData\Local\LWQUL
C:\Users\Человек\AppData\Local\ZZULR
C:\Users\Человек\AppData\Local\NMLLH
C:\Users\Человек\AppData\Local\LIEZM
C:\Users\Человек\AppData\Local\VARQW
C:\Users\Человек\AppData\Local\APHWX
C:\Users\Человек\AppData\Local\AUDVT
C:\Users\Человек\AppData\Local\GWDCQ
C:\Users\Человек\AppData\Local\CGIOQ
C:\Users\Человек\AppData\Local\ERVCO
C:\Users\Человек\AppData\Local\ZYOCE
C:\Users\Человек\AppData\Local\TKKIV
C:\Users\Человек\AppData\Local\TXBUY
C:\Users\Человек\AppData\Local\OFVSB
C:\Users\Человек\AppData\Local\CKKJT
C:\Users\Человек\AppData\Local\PUNGM
C:\Users\Человек\AppData\Local\OACMF
C:\Users\Человек\AppData\Local\CWQYS
C:\Users\Человек\AppData\Local\CBSBL
C:\Users\Человек\AppData\Local\VIRVD
C:\Users\Человек\AppData\Local\OHAYH
C:\Users\Человек\AppData\Local\RCMWG
C:\Users\Человек\AppData\Local\ENTBP
C:\Users\Человек\AppData\Local\EOEPE
C:\Users\Человек\AppData\Local\THMRG
C:\Users\Человек\AppData\Local\DGCTY
C:\Users\Человек\AppData\Local\SHYWN
C:\Users\Человек\AppData\Local\TNZGG
C:\Users\Человек\AppData\Local\ZLLOI
C:\Users\Человек\AppData\Local\LQZGU
C:\Users\Человек\AppData\Local\KZVGJ
C:\Users\Человек\AppData\Local\DLVTA
C:\Users\Человек\AppData\Local\RQHEZ
C:\Users\Человек\AppData\Local\SLJSS
C:\Users\Человек\AppData\Local\HJCUO
C:\Users\Человек\AppData\Local\BVJUU
C:\Users\Человек\AppData\Local\WYUWF
C:\Users\Человек\AppData\Local\HIZGI
C:\Users\Человек\AppData\Local\BEALX
C:\Users\Человек\AppData\Local\JESLE
C:\Users\Человек\AppData\Local\VOBSU
C:\Users\Человек\AppData\Local\PLHQH
C:\Users\Человек\AppData\Local\RHGRJ
C:\Users\Человек\AppData\Local\QXOXS
C:\Users\Человек\AppData\Local\UMNRK
C:\Users\Человек\AppData\Local\SVIDN
C:\Users\Человек\AppData\Local\LQDQI
C:\Users\Человек\AppData\Local\VQKDU
C:\Users\Человек\AppData\Local\XOACP
C:\Users\Человек\AppData\Local\PEDTY
C:\Users\Человек\AppData\Local\RKQWB
C:\Users\Человек\AppData\Local\AZBQS
C:\Users\Человек\AppData\Local\MEXZD
C:\Users\Человек\AppData\Local\AIQZJ
C:\Users\Человек\AppData\Local\XPGVW
C:\Users\Человек\AppData\Local\QTYKR
C:\Users\Человек\AppData\Local\CJGLA
C:\Users\Человек\AppData\Local\QIGUQ
C:\Users\Человек\AppData\Local\CBFTV
C:\Users\Человек\AppData\Local\RMTTT
C:\Users\Человек\AppData\Local\PBXYG
C:\Users\Человек\AppData\Local\EQLEK
C:\Users\Человек\AppData\Local\ZRFKQ
C:\Users\Человек\AppData\Local\RFVFQ
C:\Users\Человек\AppData\Local\VRNHK
C:\Users\Человек\AppData\Local\AVZUE
C:\Users\Человек\AppData\Local\BZJEB
C:\Users\Человек\AppData\Local\AUOYI
C:\Users\Человек\AppData\Local\EUCOH
C:\Users\Человек\AppData\Local\UWORJ
C:\Users\Человек\AppData\Local\WTVZW
C:\Users\Человек\AppData\Local\JMMAN
C:\Users\Человек\AppData\Local\SSQBB
C:\Users\Человек\AppData\Local\DRHUC
C:\Users\Человек\AppData\Local\FCTWM
C:\Users\Человек\AppData\Local\KQBJS
C:\Users\Человек\AppData\Local\QJBHF
C:\Users\Человек\AppData\Local\TRHYH
C:\Users\Человек\AppData\Local\OECTW
C:\Users\Человек\AppData\Local\TXQRA
C:\Users\Человек\AppData\Local\LILKL
C:\Users\Человек\AppData\Local\CYRCY
C:\Users\Человек\AppData\Local\FTUDD
C:\Users\Человек\AppData\Local\XHWHC
C:\Users\Человек\AppData\Local\MFQVW
C:\Users\Человек\AppData\Local\BRUIL
C:\Users\Человек\AppData\Local\UNCVC
C:\Users\Человек\AppData\Local\VBWXE
C:\Users\Человек\AppData\Local\ZPHML
C:\Users\Человек\AppData\Local\YYETF
C:\Users\Человек\AppData\Local\YSRHX
C:\Users\Человек\AppData\Local\XTGUL
C:\Users\Человек\AppData\Local\PMCZL
C:\Users\Человек\AppData\Local\FWTBN
Zip: C:\Users\Человек\nqo4f953Xq3qLsdJwUpN
C:\Users\Человек\nqo4f953Xq3qLsdJwUpN
End::


2. Скопируйте выделенный текст (правая кнопка мыши  Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму.

ArtyomYurakov

ArtyomYurakov

Опубликовано
  • Автор
Опубликовано

1.Выполнил FRST64.exe c указанным кодом. 

2. Был создан архив 13.01.2021_07.47.31.zip. размером 22 байта. Его отправка через форму завершилась с сообщением: "Ошибка загрузки. Данный файл уже был загружен".

Fixlog.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...