Перейти к содержанию
Правила раздела

Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется

Bruntem

От Bruntem
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Bruntem Новичок

Bruntem

Опубликовано
Опубликовано

Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.

Прошу помощи.

 

 

CollectionLog-2022.05.14-18.18.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Bruntem Новичок

Bruntem

Опубликовано
  • Автор
Опубликовано

CollectionLog-2022.05.26-12.59.zip

 

Сделал все по инструкции. Новые логи прилагаю. Не могу понять как прислать карантин. Ссылки "Прислать запрошенный карантин" не нахожу.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не исправил шаблон ответа.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

NextDNS сами устанавливали? Если нет, удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [MS Image Processing] => "C:\Users\Артём\AppData\Roaming\ImageShaderProcessing\ImageShaderProcessor.exe" -a (Нет файла)
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [Services.exe] => C:\Users\12C2~1\AppData\Local\Temp\Services.exe (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {01056975-6582-450D-8800-A5EDBC68039F} - System32\Tasks\MDnxCEZPMtiOeh => rundll32 "C:\Program Files (x86)\bENWNmwFnWdU2\UratkQFDUXpqE.dll",#1
Task: {0489DD9C-38C2-40E6-9D57-7B46F1BEA059} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe /H (Нет файла)
Task: {067F164D-9C04-4012-BCA8-53EA9C6A5AF4} - System32\Tasks\LxeSkakALxEknyhebqt2 => rundll32 "C:\Program Files (x86)\cBRXZPPQmHftC\ICgnliI.dll",#1
Task: {21CD1041-BAF2-489A-BDF9-ACBB11CDD91F} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Нет файла)
Task: {2D2C6481-718E-44B0-9DBD-97C11DE04AF9} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\Артём\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (Нет файла)
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Нет файла)
Task: {3C547E2A-D99F-417A-A9AE-A8AE6F77EBCF} - System32\Tasks\xEKwJloQTfgnoiYoK2 => rundll32 "C:\Program Files (x86)\usOulTiLyaDrBMKHgvR\RpMQshD.dll",#1
Task: {47DA352A-335D-4FAE-956E-C8352EC87ABF} - System32\Tasks\ZJxSiKbDUOBoWjBWd2 => rundll32 "C:\Program Files (x86)\rDnJkcuWfSumvnFWdFR\BEcFlYC.dll",#1
Task: {5E7926B8-5779-42F2-8761-6C58BBF50E54} - System32\Tasks\uhpzNVwtILKDJ2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\zDTzrpKaqWrlSUVB\rJRHegk.wsf"
Task: {603DC043-F33C-4C35-BFFB-EF12495C59B4} - System32\Tasks\sNrPHOQwNlnwi2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DoBKggEwrzSbWlVB\aFbJnIK.wsf"
Task: {720592A8-FE80-4801-B731-A897F403898F} - System32\Tasks\sVGwazUnyVZIUOj2 => rundll32 "C:\Program Files (x86)\lqErRLRHU\iKWzJo.dll",#1
Task: {89A3660D-3355-4C7E-9FD9-027AD85CA8A5} - System32\Tasks\ProactiveScan => C:\Users\Артём\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
Task: {96A10E22-C417-4A0E-B900-F6394AC16103} - System32\Tasks\jWefkAVtchZRPOn2 => rundll32 "C:\Program Files (x86)\pKXEtUIUU\rtQDXq.dll",#1
Task: {b6c2ee84-1488-4def-afac-9b8ec87c6e3e} - отсутствует путь к файлу
Task: {CFD35F73-4063-4D74-AB7C-8350837E9824} - System32\Tasks\ctJGZPMJaVjHsd => rundll32 "C:\Program Files (x86)\hhzIhXxBKgmU2\oinKfWnzZJMoh.dll",#1
Task: {E2D79813-E272-4668-B137-BCA6AC2C8500} - System32\Tasks\KCqfaCnLWxKJsrARfzs2 => rundll32 "C:\Program Files (x86)\kqwFrOsXeejBC\jDOaZlh.dll",#1
Task: {E4685041-3766-4547-B9AB-F03556009DA2} - System32\Tasks\bQuEdkcXZNBrYPHfp => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe 4z /site_id 690689 /S (Нет файла) <==== ВНИМАНИЕ
Task: {E58E11EF-6ED8-4313-942C-BE1136225CCA} - System32\Tasks\ogdRYFQ => C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ogdRYFQ\ogdRYFQ.dll",ogdRYFQ <==== ВНИМАНИЕ
Task: {E59D1ACB-3515-4BA1-B013-D3C7FE39056D} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (Нет файла)
Task: {FC7A292C-F913-47F3-9756-2D241190E14D} - System32\Tasks\Opera scheduled Autoupdate 1638708148 => C:\Users\Артём\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: C:\WINDOWS\Tasks\bQuEdkcXZNBrYPHfp.job => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
C:\Users\Артём\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Артём\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 AppServicea; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicea; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 rsClientSvc; C:\Program Files\RAVAntivirus\rsClientSvc.exe [X]
S2 rsEngineSvc; "C:\Program Files\RAVAntivirus\rsEngineSvc.exe" [X]
2022-05-25 10:51 - 2022-05-25 10:51 - 000000000 ____D C:\Program Files\Transmission
FCheck: C:\WINDOWS\SysWOW64\lastpass_1337.exe [2021-01-05] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
HD Compressor 1.4.1.39 (HKLM-x32\...\{a4c6c9cf-1040-4a2e-84f7-10cd533b8314}) (Version: 1.4.1.39 - Orlando e figli SPA) Hidden
snake raise 2.5.1.17 (HKLM-x32\...\{8d2c3090-f76a-4f7b-ada6-77ce072dd4fc}) (Version: 2.5.1.17 - Guerra-Negri Group e figli) Hidden
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{9dd93ff4-9d73-45a4-9bc4-fe5bfc60b507}) (Version: 1.0.0.0 - TotalAdblock) Hidden
Transmission 3.00 (bb6b5a062e) (x64) (HKLM-x32\...\{B206C51C-27D2-4251-95E2-B4B28DE80633}) (Version: 3.00.0 - Transmission Project)
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [838]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [838]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [838]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [838]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [838]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TM.blf:43A466F9B0 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000001.regtrans-ms:416ED0AFFA [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000002.regtrans-ms:AB59CD52ED [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NextDNS.lnk:6FC3F924A2 [3314]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
AlternateDataStreams: C:\Users\Артём\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\Application Data:NT [40]
AlternateDataStreams: C:\Users\Артём\Application Data:NT2 [838]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT2 [838]
BHO-x32: YoutubeDownloader -> {D851840B-2849-4EE4-9160-B793935F916B} -> C:\Program Files (x86)\TEPukYjbwIE\kdGMPp12z.dll => Нет файла
FirewallRules: [TCP Query User{0715D656-52CD-4CF1-AF15-E398DDCC6BDB}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [UDP Query User{E346C4DC-75F3-4CF2-86E7-F6903A5B39C0}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{D476F8A8-B5FB-4592-8F81-778778307074}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{F68AADC1-4EDB-48B7-B89C-61D3DA00128C}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [TCP Query User{71E7C547-9D67-4E63-9AC6-D3C6A4082B74}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{BC2B337F-3141-403E-811D-8A9C07F40E55}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{F12D7DA9-E68F-4907-B3F3-DA60C489646F}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [UDP Query User{48A53251-49FA-43C4-8B24-3827411067F8}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{51CEDF0E-C419-4963-BB97-09214176F35A}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{E41AE2C9-C82B-45FC-9675-214AA01E35C5}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [TCP Query User{09DFAAD1-AF54-4A82-93FB-3D1EEC553C77}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [UDP Query User{15591380-12E5-484B-82F3-DDAA2E893C19}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [TCP Query User{E0FAFE47-E276-4C42-9249-B608FD68B727}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{962E6716-8A69-4B55-B977-E86D5D545EC0}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [TCP Query User{ECC7F4C6-633F-4299-A874-8A813C1CAB81}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{D7D33B86-0480-4911-9C34-7A51D8DD89C3}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{187D077F-5260-462E-9529-8AEE5355E3AF}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C98281AA-9E39-47CE-AF3D-EC835A566F94}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3E810BAB-4F7C-4307-BA64-CCBFB3F1EB90}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{833FAB1D-130B-480E-8CC2-F49B84DA9389}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{24D45D7F-757E-4AEC-96E1-808EE6C43879}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D464B3F3-8F33-4315-8B52-141FB91BD067}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

HD Compressor 1.4.1.39
snake raise 2.5.1.17
Total Adblock - Free AdBlocker 1.0.0.0
Transmission 3.00
Word
YoutubeDownloader
Кнопка "Яндекс" на панели задач

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты
Bruntem Новичок

Bruntem

Опубликовано
  • Автор
Опубликовано

Похоже, что проблема ушла. По крайней мере DNS стоит правильный и не менялся. Все программы запускаются.

 

Большое спасибо за помощь!

Можете подсказать, почему его не ловил антивирус?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mausidze
      [РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки
      От Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
    • Александр_38
      [РЕШЕНО] Помогите пожалуйста с удалением вируса MEM:Backdoor.Win32.Insistent.gen и HEUR: Trojan.Win64.Miner.gen
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • IStogov
      Почему не другой антивирус?
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • Ari_x_100
      Не устанавливается антивирус
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...