По ходу после установки фолаута 4 пиратского хапнул вирусняка, вот сделал логи
По ходу после установки фолаута 4 пиратского хапнул вирусняка, вот сделал логи
Уважаемый(ая) Rusleo, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Russell\AppData\Roaming\Identities\Caches\mdm',''); TerminateProcessByName('C:\Users\Russell\AppData\Roaming\Ubisoft\Ctfhost\ctfhost.exe'); QuarantineFile('C:\Users\Russell\AppData\Roaming\Ubisoft\Ctfhost\ctfhost.exe',''); DeleteFile('C:\Users\Russell\AppData\Roaming\Ubisoft\Ctfhost\ctfhost.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CTF'); DeleteFile('C:\WINDOWS\system32\Tasks\MdmUpdateTaskMachineCore','64'); DeleteFile('C:\Users\Russell\AppData\Roaming\Identities\Caches\mdm','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал все как вы просили
Новые логи где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
так уже загрузил, нажал где красная надпись над моим постом
Вы загрузили карантин, а я прошу сделать новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А, понял вас, сделаю
- - - - -Добавлено - - - - -
Пожалуйста
- - - - -Добавлено - - - - -
Я добавил
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал в лучшем виде
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1349681362-1001706736-1104495898-1001_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\Russell\AppData\Local\Temp\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1349681362-1001706736-1104495898-1001_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\Russell\AppData\Local\Temp\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1349681362-1001706736-1104495898-1001_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\Russell\AppData\Local\Temp\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1349681362-1001706736-1104495898-1001_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\Russell\AppData\Local\Temp\mcse64_00.dll => No File Task: {1A8D50BE-5027-4EAE-B822-46A962817B3B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {2C2A9D8E-B8F8-448A-889A-680D23416A80} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {3097DEFF-8841-4496-8424-F8FF929E840B} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {3B27AD14-4B0B-4F62-99B1-6E4195CD5303} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {4FA9AC8C-BA82-49F7-A2E2-7CE3ABCF1466} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {63EE3BD5-7D0B-406E-BEA5-33EE53A663CA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {69E2031F-76DB-48E5-B2F5-10F1862F1294} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {A2FE5D19-BCE3-46E4-AC81-784550168508} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {D3D4BA23-B3A6-4C27-95D9-DF4D26EC833D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {D43F9CDD-BA99-42EF-AB6B-8602694D8737} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {F88CC447-2776-41E5-8681-4AFFF9C085EE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {FA4BA723-0325-4BFA-A112-994CCCA9B171} - \MdmUpdateTaskMachineCore -> No File <==== ATTENTION Task: {FEE36778-AFA0-4E9D-AE26-49C91FE14E14} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION SearchScopes: HKU\S-1-5-21-1349681362-1001706736-1104495898-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3324850&octid=EB_ORIGINAL_CTID&ISID=e6b2abbd-6ae2-4532-9b96-2c40a772e181&SearchSource=58&CUI=&UM=5&UP=SPDBD03B92-CC99-41EA-B1F9-350566B62308&q={searchTerms}&SSPV= BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, уже несколько дней как этот процесс не виден в диспетчере задач, спасибо, с меня бутылка
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\russell\appdata\roaming\ubisoft\ctfhost\c tfhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aaz
Уважаемый(ая) Rusleo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.