Oxide 0 Опубликовано 21 января, 2021 Share Опубликовано 21 января, 2021 Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Довольно долго рылся в интернете в поисках решения проблемы, но всё что нашёл - не помогло. Так же, не могу открывать некоторые окна в параметрах. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 21 января, 2021 Share Опубликовано 21 января, 2021 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 21 января, 2021 Автор Share Опубликовано 21 января, 2021 Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Довольно долго рылся в интернете в поисках решения проблемы, но всё что нашёл не помогло. Так же не могу открывать некоторые окна в параметрах. log.txt Check_Browsers_LNK.log HiJackThis.log info.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 января, 2021 Share Опубликовано 21 января, 2021 10 минут назад, Oxide сказал: Пытался установить drweb cureit, но при вводе запроса браузер сам закрывается. Это всё майнер шалит. Только логи не те прикрепили. Соберите Автологером и прикрепите архив с логами который создаёт он. Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 21 января, 2021 Автор Share Опубликовано 21 января, 2021 12 минут назад, regist сказал: Это всё майнер шалит. Только логи не те прикрепили. Соберите Автологером и прикрепите архив с логами который создаёт он. CollectionLog-2021.01.21-20.21.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 января, 2021 Share Опубликовано 21 января, 2021 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID : TStringList; i : integer; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('Doctor Web'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin AddToLog(fname + ' - Exists'); FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure Del_c_rdp; var c_rdp: string; begin c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp'); if DirectoryExists(NormalDir(c_rdp)) then begin AddToLog(c_rdp + ' - Exists'); FSResetSecurity(c_rdp); QuarantineFile(c_rdp + 'RDPWInst.exe', ''); DeleteFile(c_rdp + 'RDPWInst.exe'); DeleteDirectory(c_rdp); end; end; procedure Del_DisallowRun(SID_Name : string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; begin if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then begin AddToLog('HKEY_USERS\' + SID_Name + PolExplKey + DR + ' - Exists'); BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name); RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR); RegKeyParamDel('HKEY_USERS', SID_Name + PolExplKey, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; // SetupAVZ('debug=y'); if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); Del_c_rdp; if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); L_SID := TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun(L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 3, 3, true); ExecuteSysClean; end; begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windowstask\audiodg.exe'); TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe'); TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe'); StopService('458163724B240994'); QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('c:\programdata\windowstask\audiodg.exe', ''); QuarantineFile('c:\programdata\windowstask\microsofthost.exe', ''); QuarantineFile('c:\programdata\realtekhd\taskhost.exe', ''); QuarantineFile('C:\Users\Kostya\AppData\Local\Temp\7F7A2F0A-AA41942B-AD63B527-B29F2F57\6ceb45cb.sys', ''); QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', ''); QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', ''); QuarantineFile('c:\programdata\windowstask\amd.exe', ''); QuarantineFile('E:\autorun.inf', ''); DeleteFile('c:\programdata\windowstask\audiodg.exe', ''); DeleteFile('c:\programdata\windowstask\microsofthost.exe', ''); DeleteFile('c:\programdata\realtekhd\taskhost.exe', ''); DeleteFile('C:\Users\Kostya\AppData\Local\Temp\7F7A2F0A-AA41942B-AD63B527-B29F2F57\6ceb45cb.sys', '64'); DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64'); DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64'); DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64'); DeleteFile('c:\programdata\windowstask\microsofthost.exe', '64'); DeleteFile('c:\programdata\windowstask\amd.exe', '64'); DeleteFileMask('c:\programdata\windowstask', '*', true); DeleteFileMask('c:\programdata\realtekhd', '*', true); DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); DeleteDirectory('c:\programdata\windowstask'); DeleteDirectory('c:\programdata\realtekhd'); DeleteService('458163724B240994'); AV_block_remove;ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[ Для повторной диагностики запустите снова AutoLogger. Изменено 21 января, 2021 пользователем regist Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 21 января, 2021 Автор Share Опубликовано 21 января, 2021 (изменено) на почту отправил, вот логи CollectionLog-2021.01.21-21.10.zip Изменено 21 января, 2021 пользователем Oxide Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 января, 2021 Share Опубликовано 21 января, 2021 (изменено) "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-04-26 08:01:45&bName= R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo O1 - Hosts: is empty O4 - HKCU\..\StartupApproved\Run: [RocketDock] = C:\Program Files)\RocketDock\RocketDock.exe (file missing) (2020/04/28) O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2020/04/28) O15 - Trusted Zone: http://webcompanion.com O23 - Service S2: Microsoft Framework - (RManService) - (no file) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 21 января, 2021 пользователем regist Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 21 января, 2021 Автор Share Опубликовано 21 января, 2021 12 минут назад, regist сказал: "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-04-26 08:01:45&bName= R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo O1 - Hosts: is empty O4 - HKCU\..\StartupApproved\Run: [RocketDock] = C:\Program Files)\RocketDock\RocketDock.exe (file missing) (2020/04/28) O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2020/04/28) O15 - Trusted Zone: http://webcompanion.com O23 - Service S2: Microsoft Framework - (RManService) - (no file) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 22 января, 2021 Share Опубликовано 22 января, 2021 (изменено) Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Изменено 22 января, 2021 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 22 января, 2021 Автор Share Опубликовано 22 января, 2021 1 час назад, Sandor сказал: Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Нужно ли это выполнять есть основная проблема уже решилась? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 22 января, 2021 Share Опубликовано 22 января, 2021 Да, нужно, если вы не хотите рецидива. Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 22 января, 2021 Автор Share Опубликовано 22 января, 2021 2 часа назад, Sandor сказал: Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Folder: C:\rdp 2021-01-21 20:56 - 2020-05-26 07:53 - 000000000 ____D C:\rdp 2021-01-20 22:59 - 2020-04-24 22:10 - 000000000 ____D C:\ProgramData\IObit 2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скрипт выполните только один раз, пожалуйста. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 22 января, 2021 Share Опубликовано 22 января, 2021 Завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Oxide 0 Опубликовано 22 января, 2021 Автор Share Опубликовано 22 января, 2021 15 минут назад, Sandor сказал: Завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти