[B]Во время работы появляется командная строка C:\Windows\System32\cmd.exe
Архив по инструкции прикрепляю[/B]
Printable View
[B]Во время работы появляется командная строка C:\Windows\System32\cmd.exe
Архив по инструкции прикрепляю[/B]
Уважаемый(ая) [B]Dreamwayz[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Как долго примерно ждать совет специалиста?
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Игорь\AppData\Local\SystemMonitor2016\579392233.exe','');
QuarantineFile('C:\Users\Игорь\AppData\Local\Hostinstaller\579392233_monster.exe','');
QuarantineFile('C:\Users\Игорь\AppData\Local\4A0EEE9.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\1822C47.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\1F6D2CC.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\3364BD5.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\1D8D345.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\48D78EB.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\B0E6A8.cmd','');
QuarantineFile('C:\Users\Игорь\AppData\Local\A0BE6E.cmd','');
DeleteFile('C:\Users\Игорь\AppData\Local\A0BE6E.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\B0E6A8.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\48D78EB.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\1D8D345.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\3364BD5.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\1F6D2CC.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\1822C47.cmd','32');
DeleteFile('C:\Users\Игорь\AppData\Local\4A0EEE9.cmd','32');
DeleteFile('C:\WINDOWS\system32\Tasks\8EFA78A864E','64');
DeleteFile('C:\WINDOWS\system32\Tasks\84B8527473D9','64');
DeleteFile('C:\WINDOWS\system32\Tasks\7CD025586AA3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\469C3E368796','64');
DeleteFile('C:\WINDOWS\system32\Tasks\44674B9B056D','64');
DeleteFile('C:\WINDOWS\system32\Tasks\3D936EC5CA0','64');
DeleteFile('C:\WINDOWS\system32\Tasks\39A24C737B4','64');
DeleteFile('C:\WINDOWS\system32\Tasks\31D7093B2480','64');
DeleteFile('C:\Users\Игорь\AppData\Local\Hostinstaller\579392233_monster.exe','32');
DeleteFile('C:\Users\Игорь\AppData\Local\SystemMonitor2016\579392233.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\SystemMonitor2016','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Uninstaller_SkipUac_Игорь','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]
прикрепляю
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
[b]thyrex[/b], сделано, прикрепляю
продолжает появляться буквально на мгновение окно командой строки и сразу исчезает
:sad2:
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction - Chrome <==== ATTENTION
HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=8da845c39c9cb2022c65bba1819ecd41&q={searchTerms}
HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=8da845c39c9cb2022c65bba1819ecd41&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2673632161-2664094505-3758015741-1001 -> 435683ECDC99FC0B18DA72A1B04206D1 URL = hxxp://smartsputnik.ru/?ri=1&uid=8da845c39c9cb2022c65bba1819ecd41&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2673632161-2664094505-3758015741-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=8da845c39c9cb2022c65bba1819ecd41&q=
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-10-17 12:50 - 2017-03-19 01:58 - 000174592 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\9635890.exe
2017-10-17 12:33 - 2017-03-19 01:58 - 000174592 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\9775983.exe
2017-10-17 00:53 - 2017-10-17 01:15 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2017-10-17 00:53 - 2017-03-19 01:58 - 000174592 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\4608468.exe
2017-10-20 02:32 - 2017-10-20 02:32 - 000392088 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB111302494.exe
2017-10-20 02:50 - 2017-10-20 02:50 - 000392088 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB1446121356.exe
2017-10-20 02:50 - 2017-10-20 02:50 - 000392088 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB1504922758.exe
2017-10-20 03:21 - 2017-10-20 03:21 - 000392120 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB2053524912.exe
2017-10-19 22:48 - 2017-10-19 22:48 - 000392120 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB20818317.exe
2017-10-20 00:50 - 2017-10-20 00:50 - 000392096 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB2430810228.exe
2017-10-19 22:32 - 2017-10-19 22:32 - 000392120 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB2964532222.exe
2017-10-20 01:20 - 2017-10-20 01:20 - 000392096 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB297911634.exe
2017-10-19 23:21 - 2017-10-19 23:21 - 000392120 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB628221873.exe
2017-10-19 22:50 - 2017-10-19 22:50 - 000392120 _____ ( ) C:\Users\Игорь\AppData\Local\Temp\KB7928970.exe
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
Task: {09552738-D5BF-4C72-A4C3-3A946A1E1DC7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {116F4819-2C26-474E-9C69-0789BDBE6D4D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {13D12B2B-4EB3-4A4E-8484-6D9C4C652B92} - \39A24C737B4 -> No File <==== ATTENTION
Task: {189062C9-6422-452B-842B-153259689B49} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {22B2B6E4-AF37-40A1-8705-CF4506C52228} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {2B35ACCB-3841-4232-ADF1-F142BF6648EF} - \8EFA78A864E -> No File <==== ATTENTION
Task: {323C5B7D-5805-4595-8CCA-8830E92957E3} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {36E43D7B-173D-4A14-AFA4-40A1E9CF952E} - \469C3E368796 -> No File <==== ATTENTION
Task: {4F3443C6-29CC-486E-BEA2-22A91E8F4C41} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {5BB9C882-0CE8-4AF7-AEE5-A92383E1761A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {62C843C1-BF1F-4365-B534-1EC39493580E} - \3D936EC5CA0 -> No File <==== ATTENTION
Task: {638E78D5-645E-48A1-963F-00AEA91CA6D2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {6A7100C1-D57F-45FC-B1E3-795BE3ACDC90} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {6C5FCC17-975F-447E-BFAF-C0B24B021687} - \31D7093B2480 -> No File <==== ATTENTION
Task: {6CB16092-FAD1-4B40-9058-C6AD7662BE3C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {6E422C40-F6F8-4044-A295-6F3E1EA97BDF} - \7CD025586AA3 -> No File <==== ATTENTION
Task: {723E4F93-202C-4314-A1EC-B000052AFEF3} - \44674B9B056D -> No File <==== ATTENTION
Task: {88CA262B-FB0F-4D67-84A6-CED5C6400612} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {8E71CAB4-24E7-4C5D-85FA-5124CB84F172} - \Uninstaller_SkipUac_Игорь -> No File <==== ATTENTION
Task: {90B03F9E-9808-44EC-9C7D-ACA9D07B504F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {96AFF6DF-78A3-45D1-B3C1-640E07857F8D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {A849A6FF-1D1A-4B07-99E2-78137F80D7C2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {ABEB085B-AF22-4C95-9BE1-5384259FD68A} - \Soft installer -> No File <==== ATTENTION
Task: {BA9FF795-E35B-4304-BAB9-B3E689BF3FDA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {BED9F0B2-D084-4F13-8D6A-5E44358F2A7B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CB4E91C1-9E59-45FD-926A-2C901CBA8063} - \84B8527473D9 -> No File <==== ATTENTION
Task: {DA30A0A8-C7CB-48E3-A326-D2FB7B3D3672} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [149]
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\...\StartupApproved\Run: => "Обнови Софт"
HKU\S-1-5-21-2673632161-2664094505-3758015741-1001\...\StartupApproved\Run: => "amigo"
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
прикрепляю
Что с проблемой?
[b]thyrex[/b], пока всё в норме, спасибо большое.
А что собственно было, можете написать?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]