Microrisk 0 Опубликовано 11 февраля, 2021 Share Опубликовано 11 февраля, 2021 Здравствуйте. Примерно месяц назад процесс из папки Flock начал на 100% грузить процессор, убивал процесс через диспетчер задач, процессор успокаивался. Некоторое время назад мой антивиру Avira при запуске компьютера сразу отправлял в карантин файл из папки ProgramData (прикрепляю скрин, что показывает Avira). Я проходил по пути, что показывал мне антивирус и полностью удалял папку Flock и вычищал корзину, но при следующем запуске системы эта папка вновь появляется там же. Прикрепляю CollectionLog CollectionLog-2021.02.11-19.49.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 11 февраля, 2021 Share Опубликовано 11 февраля, 2021 Здравствуйте! "Пофиксите" в HijackThis: R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03BC8F56-3F9D-41E6-935D-02B489D1D69A} - \ServiceCheck_10 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03F300FE-06D7-411B-BDDE-8F40D3C53EEE} - \ServiceCheck_23 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07229653-2ADE-4325-8B05-5BA23E8D8F45} - \ServiceCheck_21 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34690D2F-F688-4D24-B108-BF95E04475AF} - \ServiceCheck_9 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{414458BD-785B-4EC5-9F64-391E215149D3} - \ServiceCheck_32 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A9614BC-D1FD-40D1-BBF7-2532695DEA63} - \ServiceCheck_3 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{956E154E-98A5-4B4F-BE3C-E86E6E43EA4D} - \ServiceCheck_11 (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FCB42D3C-B020-4429-A571-8E2C52C36F54} - \ServiceCheck_26 (no xml) O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing) O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing) Затем: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 12 февраля, 2021 Автор Share Опубликовано 12 февраля, 2021 Прикрепляю отчёт ADWCleaner AdwCleaner[S00].txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 12 февраля, 2021 Share Опубликовано 12 февраля, 2021 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:Сбросить политики IEСбросить политики ChromeВ меню Информационная панель нажмите Запустить проверку.По окончании нажмите кнопку Карантин и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению.(Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 12 февраля, 2021 Автор Share Опубликовано 12 февраля, 2021 Прикрепляю отчёты AdwCleaner[C01].txt FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 12 февраля, 2021 Share Опубликовано 12 февраля, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION GroupPolicy-Firefox: Restriction <==== ATTENTION Policies: C:\Users\Aleksey\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {0D674710-481A-4F81-93B3-D6B9B3946B12} - \update-sys -> No File <==== ATTENTION Task: {0FBE5B35-4C5F-4847-8ABD-6D235F7E1E12} - \hZWdCklbJJKUAe -> No File <==== ATTENTION Task: {2EFA1DB9-AFF6-4462-B937-94AEBFF3BE5B} - \ModifyLinkUpdate -> No File <==== ATTENTION Task: {3370C896-1004-4931-B2B8-2C0B743A0C8B} - \ServiceCheck_22 -> No File <==== ATTENTION Task: {364CAEBB-0335-4025-81A5-A9B67312A9F7} - \XHzoDqsLChdlDpKJg2 -> No File <==== ATTENTION Task: {3D16D768-D3A5-4670-B505-A4BAFDE6B70D} - \Opera scheduled assistant Autoupdate 1582278682 -> No File <==== ATTENTION Task: {4A756CC4-CB26-4DBD-B191-1BF14A67621B} - \StartCN -> No File <==== ATTENTION Task: {6D41D4D7-B156-4B45-96B1-EBDB846F6D27} - \zWaRGDdIQUFJO2 -> No File <==== ATTENTION Task: {8C44AC7A-E2A2-4FDE-8FE1-E6901E853738} - \{740B8D91-9B86-44B5-AF2F-5EEC124DB57C} -> No File <==== ATTENTION Task: {8F78528E-9929-47D7-8A37-54947CA7EC8E} - \AMDLinkUpdate -> No File <==== ATTENTION Task: {9BB87747-8A83-40DE-A79A-0C32141A1DB9} - \cvc -> No File <==== ATTENTION Task: {A9CF0814-E7FE-468D-BAFE-BBDE57F24C36} - \ServiceCheck_8 -> No File <==== ATTENTION Task: {B2991FAB-4174-4551-BB8A-4BE80DA909E5} - \gZaNTwEAcszYFtGWkmA2 -> No File <==== ATTENTION Task: {B39EE710-5934-4DE9-B75F-C45C22CBCF46} - \StartDVR -> No File <==== ATTENTION Task: {B840367E-66E6-4680-A2FF-2C4F146A6FC5} - \AMDInstallUEP -> No File <==== ATTENTION Task: {B8C86ED5-3B1E-4D9E-BBA5-878473308DFF} - \AAct -> No File <==== ATTENTION Task: {BF7B3297-CF76-4F93-ABE5-AA19304E3248} - \txOoFsZvhktTFIT2 -> No File <==== ATTENTION Task: {F0AF0E21-32BC-4495-BE76-5167B9C28B6B} - \Adobe Flash Player NPAPI Notifier -> No File <==== ATTENTION Task: {F5974E6C-D999-47EE-B233-984EDEAD7DC9} - \NetShield Kit Self Repair -> No File <==== ATTENTION C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\meejmcfbiapijdfaadackoblffmidlig C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms} OPR DefaultSearchKeyword: Opera Stable -> find-it.pro C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\aoeblpmededdgajkjbmlefkepphboide C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig 2021-02-10 06:46 - 2021-02-12 18:39 - 000000000 ____D C:\ProgramData\Flock NetShield Kit 1.3.30.0 (HKLM-x32\...\{3047a8bb-f1fa-426a-9bd1-c70248a1be1e}) (Version: 1.3.30.0 - Sigma Software) Hidden AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [622] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [622] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [622] AlternateDataStreams: C:\Users\Aleksey\Application Data:NT [40] AlternateDataStreams: C:\Users\Aleksey\Application Data:NT2 [622] AlternateDataStreams: C:\Users\Aleksey\ntuser.ini:NTV [11734] AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT2 [622] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [622] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [137] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В перечне установленных программ появится Цитата NetShield Kit 1.3.30.0 Удалите. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 12 февраля, 2021 Автор Share Опубликовано 12 февраля, 2021 Прикладываю лог. NetShield Kit 1.3.30.0 - из панели управления, удаление программы нет возможности удалить. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 12 февраля, 2021 Share Опубликовано 12 февраля, 2021 Удалите принудительно через Geek Uninstaller Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 12 февраля, 2021 Автор Share Опубликовано 12 февраля, 2021 Удалил. CoinMiner по прежнему в системе Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 12 февраля, 2021 Share Опубликовано 12 февраля, 2021 Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 13 февраля, 2021 Автор Share Опубликовано 13 февраля, 2021 Прикрепляю текстовый файл scan.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 13 февраля, 2021 Share Опубликовано 13 февраля, 2021 Всё найденное удалите (поместите в карантин). Затем, при появлении сообщения антивируса, не удаляйте его а проделайте следующее: Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 13 февраля, 2021 Автор Share Опубликовано 13 февраля, 2021 Прикрепляю лог ALEKSEY-PK_2021-02-13_17-07-41_v4.11.3.7z Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 февраля, 2021 Share Опубликовано 13 февраля, 2021 1) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 2) Удалите все установленные у вас версии Java. Они давным давно протухли. 3) После этого соберите свежий лог uVS. Ссылка на сообщение Поделиться на другие сайты
Microrisk 0 Опубликовано 14 февраля, 2021 Автор Share Опубликовано 14 февраля, 2021 Прикрепляю лог и образ ClearLNK-2021.02.14_12.02.37.log ALEKSEY-PK_2021-02-14_12-09-50_v4.11.3.7z Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения