Лечил [URL="https://support.kaspersky.ru/viruses/krd2018"]Kaspersky Rescue Disk 2018. П[/URL]роявлений стало меньше, но curet все равно находит угрозы.
Лечил [URL="https://support.kaspersky.ru/viruses/krd2018"]Kaspersky Rescue Disk 2018. П[/URL]роявлений стало меньше, но curet все равно находит угрозы.
Уважаемый(ая) [B]vmprog[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Common Files\SailIty\uninstall.dat','');
QuarantineFile('C:\Program Files (x86)\Common Files\finder.exe','');
QuarantineFile('C:\Users\Toshiba\AppData\Local\Temp\csrss\scheduled.exe','');
QuarantineFile('C:\Windows\windowsManager.exe','');
QuarantineFile('C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64x.exe','');
SetServiceStart('WinDefender', 4);
DeleteService('WinDefender');
QuarantineFile('c:\users\toshiba\appdata\local\xservice\xservice.dll','');
TerminateProcessByName('C:\Windows\winmain64.exe');
QuarantineFile('C:\Windows\winmain64.exe','');
TerminateProcessByName('c:\windows\windefender.exe');
QuarantineFile('c:\windows\windefender.exe','');
DeleteFile('c:\windows\windefender.exe','32');
DeleteFile('C:\Windows\winmain64.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Driver Booster Scheduler','64');
DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Toshiba)','64');
DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','64');
DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Active Directory Rights Management Services Client\Active Directory Rights Management Services ClientTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\CertificateServicesClient\CertificateServicesClientTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\DiagnosisTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DiskDiagnostic\DiskDiagnosticTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\Media CenterTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Registry\RegistryTask','64');
DeleteFile('C:\Windows\windowsManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Services\WindowsUpdate32','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Shell\ShellTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Windows Filtering Platform\Windows Filtering PlatformTask','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\TextServicesFramework\TextServicesFrameworkTask','64');
DeleteFile('C:\Windows\system32\Tasks\One System Care Delayed','64');
DeleteFile('C:\Windows\system32\Tasks\One System Care Monitor','64');
DeleteFile('C:\Windows\system32\Tasks\psv_Re-Eco','64');
DeleteFile('C:\Windows\system32\Tasks\psv_Silverfan','64');
DeleteFile('C:\Windows\system32\Tasks\psv_Truelam','64');
DeleteFile('C:\Windows\system32\Tasks\psv_SolFax','64');
DeleteFile('C:\Windows\system32\Tasks\psv_ZotKaycof','64');
DeleteFile('C:\Windows\system32\Tasks\ScheduledUpdate','64');
DeleteFile('C:\Users\Toshiba\AppData\Local\Temp\csrss\scheduled.exe','32');
DeleteFile('C:\Windows\system32\Tasks\System Cleanup','64');
DeleteFile('C:\Program Files (x86)\Common Files\finder.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{2FCBAD76-1D6B-45AE-918F-C316E4ABA92D}','64');
DeleteFile('C:\Windows\system32\Tasks\{47356368-C88F-4E2A-831D-FD30827F6948}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
Перезагрузка была.
Карантин добавил.
Свежие логи вложил.
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Просканировал.
Приложил.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [8685569] => "C:\Users\Toshiba\AppData\Roaming\qwdkmyv1gso\42sknxxcx0v.exe" /VERYSILENT
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [HWSBFCVLIX195ML] => "C:\Program Files\TY0QQUEL6B\9P9BDF5JY.exe"
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [0Z5WTCPBXJTGC0U] => "C:\Program Files\EPY0UGAQ3J\B6ZGAIIBV.exe"
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [72TITGLVRZNNO4J] => "C:\Program Files\RE4F2GGR2G\YHS12JCAW.exe"
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [2J18HRN61EDXWMX] => "C:\Program Files\PDBOAPAFJN\UJX2D8DFA.exe"
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [7015090] => "C:\Users\Toshiba\AppData\Roaming\kn3hecu5a35\sdoqxcgh4cb.exe" /VERYSILENT
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [2676395] => "C:\Users\Toshiba\AppData\Roaming\za3jsa3tjgr\c5r4exagky3.exe" /VERYSILENT
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [5423359] => "C:\Users\Toshiba\AppData\Roaming\hzn5p4sfdaf\uy0gaq25l52.exe" /VERYSILENT
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [CloudNet] => C:\Users\Toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2018-06-17] (EpicNet Inc.) <==== ATTENTION
C:\Users\Toshiba\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2765829564-3605364903-382798925-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2765829564-3605364903-382798925-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms}
C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha
CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64x.exe [593920 2018-06-08] (SystemaRev) [File not signed] <==== ATTENTION
C:\Program Files\SystemaRev
2018-06-17 10:38 - 2018-06-17 10:38 - 001435136 ____H C:\Windows\windefender.exe
2018-06-17 10:38 - 2018-06-19 04:38 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-06-13 19:46 - 2018-06-13 19:46 - 000000000 ____D C:\Users\Все пользователи\SystemaRev
2018-06-13 19:46 - 2018-06-13 19:46 - 000000000 ____D C:\ProgramData\SystemaRev
2018-06-13 06:13 - 2018-06-13 06:13 - 000000000 _____ C:\Windows\System32\Tasks\rArHIXNWKfbeRtR
2018-06-12 21:03 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files (x86)\EgDGbQEiU
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\za3jsa3tjgr
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\t0vbenlyjge
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\kn3hecu5a35
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\hzn5p4sfdaf
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\TY0QQUEL6B
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\RE4F2GGR2G
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\PDBOAPAFJN
2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\EPY0UGAQ3J
2018-06-12 13:34 - 2018-06-12 13:34 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\SystemaRev
2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\faymfqnkbwv
2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Program Files\F3FHJGS8ER
2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Program Files\0VCZ9B41MJ
2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\kdqm430zrnx
2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\cnixfhupglf
2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\cirdhphquhq
2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Program Files\KN70HD6MFV
2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Program Files\DKJEHAA2LF
2018-06-12 13:09 - 2018-06-12 13:09 - 000000000 ____D C:\Program Files\SystemaRev
2018-06-12 13:08 - 2018-06-12 13:08 - 000003826 _____ C:\Windows\System32\Tasks\MainPMgr
2018-06-12 13:08 - 2018-06-12 13:08 - 000003788 _____ C:\Windows\System32\Tasks\Update_4.0.8
2018-06-12 13:08 - 2018-06-12 13:08 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\EpicNet Inc
2018-06-12 13:05 - 2018-06-12 21:02 - 000000012 _____ C:\Users\Все пользователи\rwi.khad
2018-06-12 13:05 - 2018-06-12 21:02 - 000000012 _____ C:\ProgramData\rwi.khad
2018-06-12 13:05 - 2018-06-12 21:02 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2018-06-12 13:05 - 2018-06-12 21:02 - 000000004 _____ C:\ProgramData\lock.dat
2018-06-12 13:05 - 2018-06-12 13:40 - 000000000 ____D C:\Users\Все пользователи\yahoochrome_D
2018-06-12 13:05 - 2018-06-12 13:40 - 000000000 ____D C:\ProgramData\yahoochrome_D
2018-06-12 13:04 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\qwdkmyv1gso
2018-06-12 13:04 - 2018-06-12 13:12 - 000000000 ____D C:\Program Files\E3C11OI1ZB
2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\yextph1njfu
2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\jw0vfyzutd3
2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\2znsyoft44r
2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Program Files\SSCXG5EP6H
2018-06-12 10:03 - 2018-06-12 10:03 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\Users\Все пользователи\Voyasollams
2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\Users\Toshiba\AppData\LocalLow\IObit
2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\ProgramData\Voyasollams
2018-06-12 10:01 - 2018-06-12 14:04 - 000000000 ____D C:\Users\Все пользователи\Voyasollam
2018-06-12 10:01 - 2018-06-12 14:04 - 000000000 ____D C:\ProgramData\Voyasollam
2018-06-12 10:01 - 2018-06-12 10:39 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble
2018-06-12 10:01 - 2018-06-12 10:39 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-06-12 10:00 - 2018-06-12 10:00 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\SystemHealer
2018-06-12 10:00 - 2018-06-12 10:00 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\OneSystemCare
2018-06-12 09:58 - 2018-06-13 06:07 - 000000000 ____D C:\ProgramData\dahkService
2018-06-12 09:58 - 2018-06-12 13:20 - 000000000 ____D C:\Users\Toshiba\AppData\Local\WhiteClick
2018-06-12 09:58 - 2018-06-12 10:00 - 000000000 ____D C:\Program Files (x86)\lsJZU
2018-06-12 09:58 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Local\Hostinstaller
2018-06-12 09:58 - 2018-06-12 09:58 - 000000012 ___SH C:\Windows\AB43DED7B81B
2018-06-12 09:58 - 2018-06-12 09:58 - 000000003 _____ C:\Users\Toshiba\AppData\Local\wbem.ini
2018-06-12 09:58 - 2018-06-12 09:58 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\Microleaves
Task: {82DCE477-26D7-4E64-BC8C-2E9740616640} - \Microsoft\Windows\Location\GoogleUpdateCore -> No File <==== ATTENTION
Task: {DACB82F1-4CAA-4683-9C18-3D2570E21B46} - \Microsoft\Windows\Location\GoogleUpdateTask -> No File <==== ATTENTION
Task: {F0AB03F0-1312-4BA5-9AE8-5D006C0511D9} - \Microsoft\Windows\Location\Scheduled -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows:Active.txt [13]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Перезагрузки не было, но появилось окно о том, что ее надо сделать. Нажал ок и компьютер перезагрузился.
В диспетчере задач cloudnet.exe есть.
Сделайте новый лог FRST.txt
Вложил
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [HolyFire] => C:\Windows\rss\csrss.exe [3171840 2018-06-17] () <==== ATTENTION
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [CloudNet] => C:\Users\Toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2018-06-21] (EpicNet Inc.) <==== ATTENTION
HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex
HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\SystemTable
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2018-06-17 10:34 - 2018-06-22 07:39 - 000003190 _____ C:\Windows\System32\Tasks\csrss
2018-06-21 06:54 - 2018-06-21 06:54 - 000003826 _____ C:\Windows\System32\Tasks\MainPMgr
2018-06-21 06:54 - 2018-06-21 06:54 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\EpicNet Inc
2018-06-21 06:54 - 2018-06-21 06:54 - 000000000 ____D C:\Program Files\SystemaRev
2018-06-21 06:53 - 2018-06-22 07:39 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-06-21 06:53 - 2018-06-21 06:53 - 001435136 ____H C:\Windows\windefender.exe
2018-06-19 04:48 - 2018-06-21 06:54 - 000003788 _____ C:\Windows\System32\Tasks\Update_4.0.10
2018-06-19 04:48 - 2018-06-19 04:48 - 000003376 _____ C:\Windows\System32\Tasks\RestoreRevTask
2018-06-16 22:18 - 2018-06-16 22:18 - 000000164 ____H C:\Program Files\Common Files\restore_rev.bat
2018-06-12 10:01 - 2018-06-12 10:03 - 000126464 _____ C:\Users\Toshiba\AppData\Local\noah.dat
2018-06-12 10:01 - 2018-06-12 10:03 - 000070896 _____ C:\Users\Toshiba\AppData\Local\Config.xml
2018-06-12 10:01 - 2018-06-12 10:03 - 000005568 _____ C:\Users\Toshiba\AppData\Local\md.xml
2018-06-12 10:01 - 2018-06-12 10:02 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-06-12 10:01 - 2018-06-12 10:02 - 000000000 ____D C:\ProgramData\IObit
2018-06-12 09:59 - 2018-06-12 13:29 - 000929792 _____ C:\Users\Toshiba\AppData\Local\sham.db
2018-06-12 09:59 - 2018-06-12 13:14 - 000016080 _____ C:\Users\Toshiba\AppData\Local\InstallationConfiguration.xml
2018-06-12 09:59 - 2018-06-12 10:13 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\IObit
2018-06-12 09:59 - 2018-06-12 09:59 - 000140800 _____ C:\Users\Toshiba\AppData\Local\installer.dat
2018-06-12 09:59 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\FastDataX
2018-06-12 09:59 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Local\AdvinstAnalytics
1601-01-03 21:33 - 1601-01-03 21:33 - 000073216 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\eeYapyiFZiEu.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Выполнил
Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]
Вложил результат проверки.
Удалите в МВАМ все найденное
Удалил и перезагрузил.
Повторная проверка mbam не выявила ничего.
Cureit
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\app[1].exe - infected with Trojan.Clipper.2
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\2384631CF4F7048D532F5DEBE3CEF0CF - infected with Trojan.Encoder.24384
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\toshiba\appdata\local\temp\csrss\scheduled.exe - [B]Trojan.Win32.AntiAV.crct[/B][*] c:\users\toshiba\appdata\local\xservice\xservice.dll - [B]Trojan-Banker.Win32.Agent.afhb[/B][*] c:\windows\windefender.exe - [B]Trojan.Win32.Agentb.jbdt[/B][*] c:\windows\windowsmanager.exe - [B]not-a-virus:HEUR:AdWare.Win32.Razy.gen[/B][*] c:\windows\winmain64.exe - [B]not-a-virus:HEUR:AdWare.Win32.Razy.gen[/B][/LIST][/LIST]