Просмотр полной версии : Подозрение на вирус.
Подозрение на вирус, по заявлению провайдера. Посмотрите пожалуйста.
Info_bot
24.02.2025, 11:51
Уважаемый(ая) AHT, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).
Скачайте, распакуйте и запустите утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Snipping Tool.lnk" -> ["C:\WINDOWS\system32\SnippingTool.exe"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sta rt Menu\Programs\CopperCAM.lnk" -> ["C:\CopperCAM\CopperCAM.exe"]
>>> "C:\Users\AHT\Links\Google Диск.lnk" -> ["C:\Users\AHT\Google Диск"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sta rt Menu\Programs\jre-8u341-windows-i586.lnk" -> ["D:\ф2\jre-8u341-windows-i586.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\App Explorer.lnk" -> ["C:\Users\AHT\AppData\Local\Host App Service\Engine\HostAppService.exe" =>> /OPEN"4efc125e5bdfe64bf86cc73a85a9d56ebf10231c"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer\Acer Portal.lnk" -> ["C:\Program Files (x86)\Acer\Acer Portal\AcerPortal.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Marlin3DprinterTool\MarlinConfigurat or.lnk" -> ["C:\Program Files (x86)\Marlin3DprinterTool\MarlinConfigurator.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker\Деинсталлировать IObit Unlocker.lnk" -> ["D:\Program Files (x86)\IObit Unlocker\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker\IObit Unlocker.lnk" -> ["D:\Program Files (x86)\IObit Unlocker\IObitUnlocker.exe"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sen dTo\Получатель факса.lnk" -> ["C:\WINDOWS\system32\wfs.exe" =>> /SendTo]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\sPlan.lnk" -> ["C:\Users\AHT\AppData\Roaming\sPlan8.0\splan80.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мастер Визиток\Удаление.lnk" -> ["C:\Program Files (x86)\MasterVizitok\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Inkscape 0.91\Inkscape 0.91.lnk" -> ["C:\Program Files\Inkscape\inkscape.exe"]
>>> "C:\Users\AHT\Links\МегаДиск.lnk" -> ["C:\Users\AHT\МегаДиск"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games App - wildgames.lnk" -> ["C:\Program Files (x86)\WildTangent Games\App\GameConsole-wt.exe" =>> /src gamesmenu /dp wildgames]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sta rt Menu\Programs\Параметры обновления и конфиденциальности.lnk" -> ["C:\Windows\System32\UNP\UNPUXHost.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows*10.lnk" -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sta rt Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sta rt Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\AHT\AppData\Roaming\Microsoft\Windows\Sen dTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\AHT\AppData\Local\Microsoft\Windows\WinX\ Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$TEW_SQLEXP RESS\Desktop\App Explorer.lnk" -> ["C:\Users\AHT\AppData\Local\Host App Service\Engine\HostAppService.exe" =>> /OPEN"4efc125e5bdfe64bf86cc73a85a9d56ebf10231c"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$TEW_SQLEXP RESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$TEW_SQLEXP RESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$TEW_SQLEXP RESS\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$TEW_SQLEXP RESS\AppData\Local\Microsoft\Windows\WinX\Group3\0 9 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 1Cloudike.ShellExtension.OverlayIcons.error: (no name) - {D077F577-BCA2-4167-9599-B88CF6EFC1ED} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 1Cloudike.ShellExtension.OverlayIcons.exclude: (no name) - {898AEDC1-43D3-46A4-A4E8-5F14F20BE719} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 1Cloudike.ShellExtension.OverlayIcons.synced: (no name) - {2B88F839-725D-4AC4-982C-D80D4A314293} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 1Cloudike.ShellExtension.OverlayIcons.updating: (no name) - {C1DF3F42-D76B-4B7E-82FD-1A37B6F34F2E} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WiseClea ner (empty)
O22 - Tasks: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)
O22 - Tasks: CrystalDiskInfo - D:\ф2\CrystalDiskInfo7_0_4\DiskInfo64.exe /Startup (file missing)
Сделайте лог Malwarebytes AdwCleaner (https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546).
Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" (Preinstalled Software ) ничего не отмечайте.
Затем нажмите Карантин (Quarantine) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.
После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\Run: [GoogleDriveSync] => "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart (Нет файла)
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\Run: [YandexBrowserAutoLaunch_A46A4290968180DE7135815413 F20580] => "C:\Users\AHT\AppData\Local\Yandex\YandexBrowser\Ap plication\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\MountPoints2: {0e8f96cf-b54a-11ee-a1ae-687a646a8c80} - "F:\AutoRun.exe"
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\MountPoints2: {8d9ec8d8-02b4-11ec-9f96-1008b1a64f06} - "E:\AutoRun.exe"
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\MountPoints2: {8e72e4c1-117c-11ec-9f9f-1008b1a64f06} - "E:\AutoRun.exe"
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\MountPoints2: {eec1ec0d-06b2-11ec-9f9a-1008b1a64f06} - "E:\AutoRun.exe"
Virusscan: C:\Program Files (x86)\PackageGrad\RymftbCalendar\Dko4uame_Sser.dll
Folder: C:\Program Files (x86)\PackageGrad\RymftbCalendar
Edge Notifications: Default -> hxxps://broforyou.me; hxxps://cnc3018.ru; hxxps://fastpic.org; hxxps://file.ytbe.ru; hxxps://fwdbl-uvuvuru-fea7e6j5k.hotkabachok.com; hxxps://gamevid.ru; hxxps://pwtwt-progexeorg-fd0m00k58.meet-buddy.com; hxxps://pzoon-torlafaws-fb01dj2i3.meet-buddy.com; hxxps://topserialitecc17015932882600.hotkabachok.com; hxxps://tor.lafa.ws; hxxps://www.pochta.ru
FF Extension: (AlterGeo Addons) - C:\Users\AHT\AppData\Roaming\Mozilla\Firefox\Profi les\nahd6ha2.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2016-10-22] [Устаревший] [не подписан]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Нет файла]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Нет файла]
CHR HKLM\...\Chrome\Extension: [lgbjhdkjmpgjgcbcdlhkokkckpjmedgc]
CHR HKU\S-1-5-21-614900215-2383803473-3407634048-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\AHT\AppData\Local\Google\Drive\user_defau lt\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-614900215-2383803473-3407634048-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-614900215-2383803473-3407634048-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [lgbjhdkjmpgjgcbcdlhkokkckpjmedgc]
CHR HKU\S-1-5-21-614900215-2383803473-3407634048-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-614900215-2383803473-3407634048-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
CHR HKLM-x32\...\Chrome\Extension: [lgbjhdkjmpgjgcbcdlhkokkckpjmedgc]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ
S4 IObitUnlocker; \??\D:\Program Files (x86)\IObit Unlocker\IObitUnlocker.sys [X]
S1 ISODrive; \??\D:\UltraISO\drivers\ISODrv64.sys [X]
S2 PfFilter; \??\D:\Program Files (x86)\IObit\Protected Folder\pffilter.sys [X]
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{9486aaf1-0930-362a-962d-8e6908739c817}\InprocServer32 -> 0xF94260C9644EDA01F94260C9644EDA010100000010000000 00000000 => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.195.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-614900215-2383803473-3407634048-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\AHT\AppData\Local\Microsoft\EdgeUpdate\1. 3.173.55\psuser_64.dll => Нет файла
ContextMenuHandlers1: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} => -> Нет файла
ContextMenuHandlers1: [PfMenu] -> {2F844462-7CB8-489C-828C-32A6422506AF} => D:\Program Files (x86)\IObit\Protected Folder\PfShellExtension.dll -> Нет файла
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => D:\Program Files (x86)\IObit Unlocker\IObitUnlockerExtension.dll -> Нет файла
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => D:\Program Files (x86)\IObit Unlocker\IObitUnlockerExtension.dll -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Нет файла
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => D:\Program Files (x86)\IObit Unlocker\IObitUnlockerExtension.dll -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:AF0330FD [560]
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\StartupApproved\Run: => "CCleaner Monitoring"
HKU\S-1-5-21-614900215-2383803473-3407634048-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
FirewallRules: [UDP Query User{28FCB91C-B85A-4D8D-9694-263D2918F9D0}D:\ф2\arduino-1.8.12\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.12\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{EBA52EE7-013C-46CE-BE7F-8938F2EDEE7F}D:\ф2\arduino-1.8.12\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.12\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{604ABD40-82AD-45E7-AC5A-0DE8D8894AFA}\\desktop1\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) \\desktop1\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{1155CC46-92A2-4E1B-B15A-0F1329896E11}\\desktop1\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) \\desktop1\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{C5E85A6D-FA03-4135-A8DD-228B989E258D}D:\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{2BB723FE-2187-4D04-8DCA-1BA6979340F3}D:\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{243BDAA0-D678-40A2-958E-54FC5C2084BD}D:\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{7A82F586-8DEB-4932-94B6-739CD6A40EC8}D:\ф2\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{BA2D6BFF-8BFE-4CF1-A35A-AB758FD68F01}D:\program files\vlc\vlc.exe] => (Block) D:\program files\vlc\vlc.exe => Нет файла
FirewallRules: [TCP Query User{CE844E8D-B691-4663-9A4F-2760ACA5CCD3}D:\program files\vlc\vlc.exe] => (Block) D:\program files\vlc\vlc.exe => Нет файла
FirewallRules: [UDP Query User{E47EFE59-5F6E-45B3-826A-3F671CE5955B}D:\program files\arduino\java\bin\javaw.exe] => (Block) D:\program files\arduino\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{391C6DB5-6079-42A3-A244-E12E3E82FAA7}D:\program files\arduino\java\bin\javaw.exe] => (Block) D:\program files\arduino\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{444765EB-3B13-412E-B1E9-D9C4029C8BC2}D:\arduino\arduino-1.8.10\java\bin\javaw.exe] => (Block) D:\arduino\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{385CEC62-8F40-4A4A-B026-01F08D26157D}D:\arduino\arduino-1.8.10\java\bin\javaw.exe] => (Block) D:\arduino\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{C83EFA43-0572-43B6-8FE6-640B8F49432E}D:\ф2\arduino\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{88E2E6A9-59A6-4EBE-965A-F6D099B1F5D6}D:\ф2\arduino\arduino-1.8.10\java\bin\javaw.exe] => (Allow) D:\ф2\arduino\arduino-1.8.10\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{3AE8842C-8FD2-4B55-A09F-4C5BEE7982A2}C:\program files\windowsapps\arduinollc.arduinoide_1.8.21.0_x 86__mdqgnx93n4wtt\java\bin\javaw.exe] => (Allow) C:\program files\windowsapps\arduinollc.arduinoide_1.8.21.0_x 86__mdqgnx93n4wtt\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{AF76D0C5-85C6-428A-9481-3BDA0F79CA32}C:\program files\windowsapps\arduinollc.arduinoide_1.8.21.0_x 86__mdqgnx93n4wtt\java\bin\javaw.exe] => (Allow) C:\program files\windowsapps\arduinollc.arduinoide_1.8.21.0_x 86__mdqgnx93n4wtt\java\bin\javaw.exe => Нет файла
FirewallRules: [{48226AB4-5616-41B1-8D3D-23F6A1A50238}] => (Allow) D:\ф2\Discovery.exe => Нет файла
FirewallRules: [{2F50CC5B-F70A-4FD7-8BA1-FA29E6FD0BC7}] => (Allow) D:\ф2\Discovery.exe => Нет файла
FirewallRules: [UDP Query User{E22528AE-7F2A-4DB3-8107-4FAA39225A86}C:\users\aht\appdata\local\mediaget2\ mediaget.exe] => (Block) C:\users\aht\appdata\local\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{5817F08B-06EF-46C5-B024-ED90358FAABA}C:\users\aht\appdata\local\mediaget2\ mediaget.exe] => (Block) C:\users\aht\appdata\local\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{9966910B-85C6-4743-AC14-589752C9E291}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{7A282386-691B-4A65-8B81-1DDD010FDADC}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe => Нет файла
FirewallRules: [TCP Query User{CB9BC685-196E-4132-8686-603EEA7F6616}D:\ф2\arduino-1.8.12\java\bin\javaw.exe] => (Block) D:\ф2\arduino-1.8.12\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{C3297E79-30AE-4462-9674-882AF18E7E86}D:\ф2\arduino-1.8.12\java\bin\javaw.exe] => (Block) D:\ф2\arduino-1.8.12\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{8809701A-2F40-4EAE-A9CB-9D726A5A204C}D:\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Block) D:\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{5B36F0F2-B651-406B-9BDE-B5BC20ED0E6C}D:\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Block) D:\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{4B26404F-283B-4EB2-96DF-573454DEF9B8}D:\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{1B22133E-94AB-48D9-ADAB-76BBB98303C6}D:\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Allow) D:\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{BB49E6F7-1A3B-48DD-AE02-42515BA2CE3D}\\desktop1\e\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Allow) \\desktop1\e\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{C47DB0B0-2C1A-4327-ADFD-BA7886760058}\\desktop1\e\ф2\arduino-1.8.13\java\bin\javaw.exe] => (Allow) \\desktop1\e\ф2\arduino-1.8.13\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{5BC37098-31B7-4D87-96E6-657EE1653D07}D:\ф2\system\system\яп\и\arduino-1.8.16\java\bin\javaw.exe] => (Allow) D:\ф2\system\system\яп\и\arduino-1.8.16\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{385CB589-9996-43FF-8EA7-F6DB63A2DE2D}D:\ф2\system\system\яп\и\arduino-1.8.16\java\bin\javaw.exe] => (Allow) D:\ф2\system\system\яп\и\arduino-1.8.16\java\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{1EEBFAD4-306C-4F96-9BB7-1341BD4D6FA1}C:\st\stm32cubeide_1.7.0\stm32cubeide \stm32cubeide.exe] => (Allow) C:\st\stm32cubeide_1.7.0\stm32cubeide\stm32cubeide .exe => Нет файла
FirewallRules: [UDP Query User{127D4D28-0CD5-4331-AAFD-BD978EFFB693}C:\st\stm32cubeide_1.7.0\stm32cubeide \stm32cubeide.exe] => (Allow) C:\st\stm32cubeide_1.7.0\stm32cubeide\stm32cubeide .exe => Нет файла
FirewallRules: [{E7A6D12C-B9E0-4898-BD17-B2C80B9DAFDE}] => (Allow) C:\Users\AHT\AppData\Local\Temp\pft723C.tmp\Printe r.exe => Нет файла
FirewallRules: [{E79D2904-AB50-494E-85B9-5AAEFD461EEB}] => (Allow) C:\Users\AHT\AppData\Local\Temp\pft723C.tmp\Printe r.exe => Нет файла
FirewallRules: [TCP Query User{7FF850E6-7EB4-4174-991D-424D2C6A7D0F}D:\ugs-platform-app\ugsplatform\bin\ugsplatform64.exe] => (Block) D:\ugs-platform-app\ugsplatform\bin\ugsplatform64.exe => Нет файла
FirewallRules: [UDP Query User{51B1A408-F191-48CC-9DBC-26DF56EBA7C3}D:\ugs-platform-app\ugsplatform\bin\ugsplatform64.exe] => (Block) D:\ugs-platform-app\ugsplatform\bin\ugsplatform64.exe => Нет файла
FirewallRules: [TCP Query User{76F0D856-5521-4223-A8E2-8C79EE9B9CD2}D:\ф2\wakeonlanmonitor\wakeonlanmonit or.exe] => (Allow) D:\ф2\wakeonlanmonitor\wakeonlanmonitor.exe => Нет файла
FirewallRules: [UDP Query User{895832B0-6D41-4B6A-AADB-74B627ADD4D5}D:\ф2\wakeonlanmonitor\wakeonlanmonit or.exe] => (Allow) D:\ф2\wakeonlanmonitor\wakeonlanmonitor.exe => Нет файла
FirewallRules: [TCP Query User{3F183B6C-638C-4944-BF4F-A17EA9B13DF2}C:\arduino-1.8.15\java\bin\javaw.exe] => (Allow) C:\arduino-1.8.15\java\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{26F8FC88-73E7-4B24-874E-1339DD518D56}C:\arduino-1.8.15\java\bin\javaw.exe] => (Allow) C:\arduino-1.8.15\java\bin\javaw.exe => Нет файла
FirewallRules: [{F6162C06-02B2-4FE2-9C6C-257533E56FB5}] => (Allow) C:\Users\AHT\AppData\Local\Temp\utorrent\utorrent. exe => Нет файла
FirewallRules: [{ADD85BB5-F3DB-432B-A4E3-40E5E519D6D1}] => (Allow) C:\Users\AHT\AppData\Local\Temp\utorrent\utorrent. exe => Нет файла
FirewallRules: [{E1D4E7DE-1B03-4EFB-8831-536340963E26}] => (Allow) C:\Users\AHT\AppData\Local\Temp\8DFB2E4E-5890-4B26-98B3-ED14EAF976F8\ga_service.exe => Нет файла
FirewallRules: [{9CA59DF2-4F41-4E75-9B82-8D7B1CFADA5F}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
FirewallRules: [{51000FFF-7605-4BDA-B03B-A93D3135F243}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.e xe => Нет файла
FirewallRules: [{6252BD60-7010-4913-8A6D-1E8A22FE0DE5}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\U ser Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Выполнено
- - - - -Добавлено - - - - -
После последней операции стали странно открываться страницы. При первом открытии грузятся без графики и форматирование. После обновления страница загружается полностью. Но наблюдается это только в Yandex Browser в Edge нет.
Выделите и скопируйте в буфер обмена следующий код:
Start::
CloseProcesses:
Task: {DD46D61F-B816-4B9F-86BD-082F0EB355C6} - System32\Tasks\Microsoft\rasprt => C:\Windows\system32\RUNDLL32.exe [89600 2024-07-10] (Microsoft Windows -> Microsoft Corporation) -> C:\Program Files (x86)\PackageGrad\RymftbCalendar\"C:\Program Files (x86)\PackageGrad\RymftbCalendar\Dko4uame_Sser.dll",pnpp_syitem_namedfipd_o1_1_6 <==== ВНИМАНИЕ
C:\Program Files (x86)\PackageGrad
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
Remove-MpPreference -ExclusionPath "C:\Users\AHT\AppData\Local\Temp"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionProcess "rundll32.exe"
Remove-MpPreference -ExclusionProcess "regsvr32.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CreateRestorePoint:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Папку C:\FRST\Quarantine упакуйте с максимальным сжатием в непрерывный архив с паролем.
690344
Результат выложите в облако или на файлообменник и дайте ссылку и пароль в личном сообщении (https://virusinfo.info/private.php?do=newpm&u=25279).
Лишний раз фикс выполнили, поэтому не видно, что было в процессе удаления. И в архив ничего не попало. Но троян удалили, можно радовать провайдера.
Сделайте ещё такое исправление в FRST64:
Start::
Unlock: C:\FRST\Quarantine
End::
По завершении попробуйте снова упаковать C:\FRST\Quarantine и выложить архив.
Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR (https://www.anti-malware.ru/news/2023-10-16-111332/42116).
Java 8 обязательно обновите до текущего билда (https://www.java.com/ru/download/), у Вас устаревшая версия со множеством критических уязвимостей.
WinRar обновил, Java тоже. Код выполнил.Но папка C:\FRST\Quarantine пустая. Нечего архивировать. Что делать?
Нет, значит, нет. Спросите провайдера, видит ли нехорошую активность теперь.
Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot