Oxide Опубликовано 21 января, 2021 Опубликовано 21 января, 2021 Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Довольно долго рылся в интернете в поисках решения проблемы, но всё что нашёл - не помогло. Так же, не могу открывать некоторые окна в параметрах.
Mark D. Pearlstone Опубликовано 21 января, 2021 Опубликовано 21 января, 2021 Порядок оформления запроса о помощи
Oxide Опубликовано 21 января, 2021 Автор Опубликовано 21 января, 2021 Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Довольно долго рылся в интернете в поисках решения проблемы, но всё что нашёл не помогло. Так же не могу открывать некоторые окна в параметрах. log.txt Check_Browsers_LNK.log HiJackThis.log info.txt
regist Опубликовано 21 января, 2021 Опубликовано 21 января, 2021 10 минут назад, Oxide сказал: Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Это всё майнер шалит. Только логи не те прикрепили. Соберите Автологером и прикрепите архив с логами который создаёт он.
Oxide Опубликовано 21 января, 2021 Автор Опубликовано 21 января, 2021 12 минут назад, regist сказал: Это всё майнер шалит. Только логи не те прикрепили. Соберите Автологером и прикрепите архив с логами который создаёт он. CollectionLog-2021.01.21-20.21.zip
regist Опубликовано 21 января, 2021 Опубликовано 21 января, 2021 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID : TStringList; i : integer; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('Doctor Web'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin AddToLog(fname + ' - Exists'); FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure Del_c_rdp; var c_rdp: string; begin c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp'); if DirectoryExists(NormalDir(c_rdp)) then begin AddToLog(c_rdp + ' - Exists'); FSResetSecurity(c_rdp); QuarantineFile(c_rdp + 'RDPWInst.exe', ''); DeleteFile(c_rdp + 'RDPWInst.exe'); DeleteDirectory(c_rdp); end; end; procedure Del_DisallowRun(SID_Name : string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; begin if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then begin AddToLog('HKEY_USERS\' + SID_Name + PolExplKey + DR + ' - Exists'); BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name); RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR); RegKeyParamDel('HKEY_USERS', SID_Name + PolExplKey, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; // SetupAVZ('debug=y'); if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); Del_c_rdp; if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); L_SID := TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun(L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 3, 3, true); ExecuteSysClean; end; begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windowstask\audiodg.exe'); TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe'); TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe'); StopService('458163724B240994'); QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('c:\programdata\windowstask\audiodg.exe', ''); QuarantineFile('c:\programdata\windowstask\microsofthost.exe', ''); QuarantineFile('c:\programdata\realtekhd\taskhost.exe', ''); QuarantineFile('C:\Users\Kostya\AppData\Local\Temp\7F7A2F0A-AA41942B-AD63B527-B29F2F57\6ceb45cb.sys', ''); QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', ''); QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', ''); QuarantineFile('c:\programdata\windowstask\amd.exe', ''); QuarantineFile('E:\autorun.inf', ''); DeleteFile('c:\programdata\windowstask\audiodg.exe', ''); DeleteFile('c:\programdata\windowstask\microsofthost.exe', ''); DeleteFile('c:\programdata\realtekhd\taskhost.exe', ''); DeleteFile('C:\Users\Kostya\AppData\Local\Temp\7F7A2F0A-AA41942B-AD63B527-B29F2F57\6ceb45cb.sys', '64'); DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64'); DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64'); DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64'); DeleteFile('c:\programdata\windowstask\microsofthost.exe', '64'); DeleteFile('c:\programdata\windowstask\amd.exe', '64'); DeleteFileMask('c:\programdata\windowstask', '*', true); DeleteFileMask('c:\programdata\realtekhd', '*', true); DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); DeleteDirectory('c:\programdata\windowstask'); DeleteDirectory('c:\programdata\realtekhd'); DeleteService('458163724B240994'); AV_block_remove;ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[ Для повторной диагностики запустите снова AutoLogger. Изменено 21 января, 2021 пользователем regist
Oxide Опубликовано 21 января, 2021 Автор Опубликовано 21 января, 2021 (изменено) на почту отправил, вот логи CollectionLog-2021.01.21-21.10.zip Изменено 21 января, 2021 пользователем Oxide
regist Опубликовано 21 января, 2021 Опубликовано 21 января, 2021 (изменено) "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-04-26 08:01:45&bName= R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo O1 - Hosts: is empty O4 - HKCU\..\StartupApproved\Run: [RocketDock] = C:\Program Files)\RocketDock\RocketDock.exe (file missing) (2020/04/28) O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2020/04/28) O15 - Trusted Zone: http://webcompanion.com O23 - Service S2: Microsoft Framework - (RManService) - (no file) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 21 января, 2021 пользователем regist
Oxide Опубликовано 21 января, 2021 Автор Опубликовано 21 января, 2021 12 минут назад, regist сказал: "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-04-26 08:01:45&bName= R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo O1 - Hosts: is empty O4 - HKCU\..\StartupApproved\Run: [RocketDock] = C:\Program Files)\RocketDock\RocketDock.exe (file missing) (2020/04/28) O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2020/04/28) O15 - Trusted Zone: http://webcompanion.com O23 - Service S2: Microsoft Framework - (RManService) - (no file) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. FRST.txt Addition.txt
Sandor Опубликовано 22 января, 2021 Опубликовано 22 января, 2021 (изменено) Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Изменено 22 января, 2021 пользователем Sandor
Oxide Опубликовано 22 января, 2021 Автор Опубликовано 22 января, 2021 1 час назад, Sandor сказал: Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Нужно ли это выполнять есть основная проблема уже решилась?
Sandor Опубликовано 22 января, 2021 Опубликовано 22 января, 2021 Да, нужно, если вы не хотите рецидива.
Oxide Опубликовано 22 января, 2021 Автор Опубликовано 22 января, 2021 2 часа назад, Sandor сказал: Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Fixlog.txt
Sandor Опубликовано 22 января, 2021 Опубликовано 22 января, 2021 Завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.
Oxide Опубликовано 22 января, 2021 Автор Опубликовано 22 января, 2021 15 минут назад, Sandor сказал: Завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. SecurityCheck.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти