Присутствуют вирусы. Антивирус не справляется [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan-PSW.Win32.Agent.thgc ]

Printable View

10.08.2018, 13:33
megoman

Вложений: 1

Присутствуют вирусы. Антивирус не справляется [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan-PSW.Win32.Agent.thgc ]

Поймал несколько вирусов. CureIt не смог полностью справиться с проблемой. В установленном DrWeb антивирус постоянно всплывает информация о найденном вирусе. Также не открывается Chrome.
10.08.2018, 13:34
Info_bot

Уважаемый(ая) [B]megoman[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.08.2018, 15:33
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\xpZXRwYFlIWU2\pQxIGuLhNOQBg.dll','');
QuarantineFile('C:\Program Files\ELCdlNcAzQmJaXxTcwR\gqiTccN.dll','');
QuarantineFile('C:\Program Files\LDRIRJvSptwQC\uRohUMp.dll','');
QuarantineFile('C:\Users\Маргарита\AppData\Local\Temp\csrss\scheduled.exe','');
QuarantineFile('C:\Program Files\VHbWajSWU\QIuhOB.dll','');
DelBHO('{BAA31A35-DDC9-488F-864E-7FF705D4DDBD}');
QuarantineFile('C:\ProgramData\Quoteex\Triois.dll','');
QuarantineFile('C:\Program Files\APosl\9783491.exe','');
SetServiceStart('YWUzNTFmMDA5NjM', 4);
DeleteService('YWUzNTFmMDA5NjM');
SetServiceStart('WinmonFS', 4);
DeleteService('WinmonFS');
SetServiceStart('Winmon', 4);
DeleteService('Winmon');
SetServiceStart('WinDefender', 4);
DeleteService('WinDefender');
SetServiceStart('ODVhMzBiYWY3Y', 4);
DeleteService('ODVhMzBiYWY3Y');
QuarantineFile('C:\Windows\system32\drivers\YWUzNTFmMDA5NjM.sys','');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
QuarantineFile('C:\Windows\viltbqysuvymdaeu.vil','');
QuarantineFile('c:\users\маргарита\appdata\local\xservice\xservice.dll','');
QuarantineFile('C:\Program Files\zDUkwTwaYIE\kXwhxGQ.dll','');
QuarantineFile('C:\Program Files\zDUkwTwaYIE\4O26Q.dll','');
QuarantineFile('C:\Program Files\Powzip\smshellext.dll','');
TerminateProcessByName('c:\program files\zdukwtwayie\zzidkgjbir.exe');
QuarantineFile('c:\program files\zdukwtwayie\zzidkgjbir.exe','');
TerminateProcessByName('c:\users\Маргарита\appdata\local\temp\wup\wup.exe');
QuarantineFile('c:\users\Маргарита\appdata\local\temp\wup\wup.exe','');
TerminateProcessByName('c:\windows\windefender.exe');
QuarantineFile('c:\windows\windefender.exe','');
TerminateProcessByName('c:\windows\rss\csrss.exe');
QuarantineFile('c:\windows\rss\csrss.exe','');
DeleteFile('c:\windows\rss\csrss.exe','32');
DeleteFile('c:\windows\windefender.exe','32');
DeleteFile('c:\users\Маргарита\appdata\local\temp\wup\wup.exe','32');
DeleteFile('c:\program files\zdukwtwayie\zzidkgjbir.exe','32');
DeleteFile('C:\Program Files\Powzip\smshellext.dll','32');
DeleteFile('C:\Program Files\zDUkwTwaYIE\4O26Q.dll','32');
DeleteFile('C:\Program Files\zDUkwTwaYIE\kXwhxGQ.dll','32');
DeleteFile('c:\users\маргарита\appdata\local\xservice\xservice.dll','32');
DeleteFile('C:\Windows\viltbqysuvymdaeu.vil','32');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys','32');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','32');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','32');
DeleteFile('C:\Windows\system32\drivers\YWUzNTFmMDA5NjM.sys','32');
DeleteFile('C:\Program Files\APosl\9783491.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','42qgabxchjq');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MicroService\Parameters','ServiceDll');
DeleteFile('C:\Windows\system32\Tasks\csrss','32');
DeleteFile('C:\Windows\system32\Tasks\cvyVeCGCBGMaCol2','32');
DeleteFile('C:\Program Files\VHbWajSWU\QIuhOB.dll','32');
DeleteFile('C:\Windows\system32\Tasks\ScheduledUpdate','32');
DeleteFile('C:\Users\Маргарита\AppData\Local\Temp\csrss\scheduled.exe','32');
DeleteFile('C:\Program Files\LDRIRJvSptwQC\uRohUMp.dll','32');
DeleteFile('C:\Program Files\ELCdlNcAzQmJaXxTcwR\gqiTccN.dll','32');
DeleteFile('C:\Windows\system32\Tasks\vnKUActWDSalGNfrR2','32');
DeleteFile('C:\Windows\system32\Tasks\WAOtgPBGflHZLCaeTGs2','32');
DeleteFile('C:\Windows\system32\Tasks\zleDohIUJuBRcb','32');
DeleteFile('C:\Program Files\xpZXRwYFlIWU2\pQxIGuLhNOQBg.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
10.08.2018, 18:05
megoman

Вложений: 1

новые логи
10.08.2018, 19:29
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ClearQuarantineEx(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('WinDefender');
SetServiceStart('ODVhMzBiYWY3Y', 4);
DeleteService('ODVhMzBiYWY3Y');
TerminateProcessByName('c:\program files\nmmxyja0odd\ndczyjq5y.exe');
QuarantineFile('c:\program files\nmmxyja0odd\ndczyjq5y.exe','');
QuarantineFile('C:\Windows\zmjfooboivrzvths.zmjf','');
DeleteFile('C:\Windows\zmjfooboivrzvths.zmjf','32');
DeleteFile('c:\program files\nmmxyja0odd\ndczyjq5y.exe','32');
DeleteFile('C:\Windows\system32\drivers\YWUzNTFmMDA5NjM.sys','32');
DeleteFile('C:\ProgramData\Quoteex\Triois.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MicroService\Parameters','ServiceDll');
DeleteFile('C:\Users\Маргарита\AppData\Local\XService\XService.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
10.08.2018, 20:05
megoman

Вложений: 1

обновил карантин и логи
10.08.2018, 20:40
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
10.08.2018, 21:00
megoman

Вложений: 1

FRST лог
10.08.2018, 21:10
thyrex

Расширение Блокировщик рекламы для Youtube ™ удалите в Хроме.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-1604657581-1108338069-653732616-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1TcAmRJFXEQB3v83Yf5Y3IxKQccuV8dbb2Qf0xh3F2KO1Le-jLQfFmxMufdPEYadaSLSqj3oI8NxMWlvlp1VC3Y6IsMqldqwDRg0TW4jCBpd6YeVAQgwlXf1uQ8KY5hD0Pr1VJ3Y2vqIzv-4T1qiOZuUQQzI8&q={searchTerms}
SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1TcAmRJFXEQB3v83Yf5Y3IxKQccuV8dbb2Qf0xh3F2KO1Le-jLQfFmxMufdPEYadaSLSqj3oI8NxMWlvlp1VC3Y6IsMqldqwDRg0TW4jCBpd6YeVAQgwlXf1uQ8KY5hD0Pr1VJ3Y2vqIzv-4T1qiOZuUQQzI8&q={searchTerms}
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1TcAmRJFXEQB3v83Yf5Y3IxKQccuV8dbb2Qf0xh3F2KO1Le-jLQfFmxMufdPEYadaU-a9SHmxr9XgiF8wRsrBtC-psmY6V2wLwZuGIrcMd07sq0IjxQhdjIySakuFmdZARK9ZOaqHq7TGW23Zh8UtCdNnc85m
C:\Users\Маргарита\AppData\Local\Google\Chrome\User Data\Default\Extensions\hflefjhkfeiaignkclmphmokmmbhbhik
S2 MicroService; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
2018-08-10 19:07 - 2018-08-10 21:38 - 000000000 ____D C:\Program Files\NmMxYjA0ODd
2018-08-08 22:14 - 2018-08-08 22:14 - 001954304 _____ C:\Windows\ODhmMWMyY2VkM.exe
2018-08-07 11:54 - 2018-08-07 11:54 - 000000128 _____ C:\Users\Все пользователи\appdata.dat
2018-08-07 11:54 - 2018-08-07 11:54 - 000000128 _____ C:\ProgramData\appdata.dat
2018-08-07 11:49 - 2018-08-07 13:02 - 000000000 ____D C:\Program Files\RHQRWIJW7Q
2018-08-07 11:49 - 2018-08-07 12:58 - 000000000 ____D C:\Program Files\T2M3JWHQBL
2018-08-07 11:49 - 2018-08-07 12:55 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\pwyds1m44db
2018-08-07 11:49 - 2018-08-07 12:55 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\l1f2wsetoik
2018-08-07 11:49 - 2018-08-07 12:55 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\5haq234a1zd
2018-08-07 11:35 - 2018-08-07 13:01 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\enatxlfgjjz
2018-08-07 11:35 - 2018-08-07 13:00 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\1vs4ctxwc1q
2018-08-07 11:35 - 2018-08-07 12:58 - 000000000 ____D C:\Program Files\FRVYFWYH1H
2018-08-07 11:35 - 2018-08-07 12:57 - 000000000 ____D C:\Program Files\UI11KPE7FR
2018-08-07 11:35 - 2018-08-07 12:56 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\4nqzv33m2ou
2018-08-07 11:35 - 2018-08-07 11:38 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\kingsoft
2018-08-07 11:35 - 2018-08-07 11:35 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\Mozilla
2018-08-07 11:35 - 2018-08-07 11:35 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-08-07 11:34 - 2018-08-10 21:36 - 000000000 ____D C:\Users\Все пользователи\Quoteex
2018-08-07 11:34 - 2018-08-10 21:36 - 000000000 ____D C:\ProgramData\Quoteex
2018-08-07 11:34 - 2018-08-10 19:39 - 000000000 ____D C:\Program Files\APosl
2018-08-07 11:34 - 2018-08-07 11:34 - 007769088 _____ C:\Users\Маргарита\AppData\Local\agent.dat
2018-08-07 11:34 - 2018-08-07 11:34 - 002018500 _____ C:\Users\Маргарита\AppData\Local\Fasesoft.tst
2018-08-07 11:34 - 2018-08-07 11:34 - 001895384 _____ C:\Users\Маргарита\AppData\Local\Superfax.bin
2018-08-07 11:34 - 2018-08-07 11:34 - 000278509 _____ C:\Users\Маргарита\AppData\Local\Cancom.tst
2018-08-07 11:34 - 2018-08-07 11:34 - 000126464 _____ C:\Users\Маргарита\AppData\Local\noah.dat
2018-08-07 11:34 - 2018-08-07 11:34 - 000070896 _____ C:\Users\Маргарита\AppData\Local\Config.xml
2018-08-07 11:34 - 2018-08-07 11:34 - 000018432 _____ C:\Users\Маргарита\AppData\Local\Main.dat
2018-08-07 11:34 - 2018-08-07 11:34 - 000015606 _____ C:\Windows\system32\findit.xml
2018-08-07 11:34 - 2018-08-07 11:34 - 000005568 _____ C:\Users\Маргарита\AppData\Local\md.xml
2018-08-07 11:34 - 2018-08-07 11:34 - 000000000 ____D C:\Users\Маргарита\AppData\Roaming\EpicNet Inc
2018-08-07 11:34 - 2018-08-07 11:34 - 000000000 ____D C:\Users\Все пользователи\Quoteexs
2018-08-07 11:34 - 2018-08-07 11:34 - 000000000 ____D C:\ProgramData\Quoteexs
2018-08-07 11:34 - 2018-08-07 11:33 - 002294272 _____ (TODO: <Company name>) C:\Users\Маргарита\AppData\Local\Fasesoft.exe
2018-08-07 11:34 - 2018-08-07 11:33 - 002294272 _____ (TODO: <Company name>) C:\Users\Маргарита\AppData\Local\Cancom.exe
2018-08-07 11:33 - 2018-08-10 19:41 - 000000000 ____D C:\Users\Маргарита\AppData\Local\XService
2018-08-07 11:33 - 2018-08-10 15:22 - 001413120 _____ C:\Users\Маргарита\AppData\Local\sham.db
2018-08-07 11:33 - 2018-08-07 11:33 - 000140800 _____ C:\Users\Маргарита\AppData\Local\installer.dat
2018-08-07 11:33 - 2018-08-07 11:33 - 000016416 _____ C:\Users\Маргарита\AppData\Local\InstallationConfiguration.xml
2018-08-07 11:32 - 2018-08-10 19:39 - 000000000 ___HD C:\Windows\rss
2018-08-07 11:54 - 2018-08-07 11:54 - 000000001 _____ () C:\Users\Маргарита\AppData\Roaming\lsa64.log
2018-08-07 13:13 - 2018-08-07 13:13 - 000070656 _____ (K) C:\Users\Маргарита\AppData\Local\Temp\7E0G5ZJJ0HFV.exe
FirewallRules: [{58CE5356-15B7-46FA-9D40-86B9B86BA0D5}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{0B35A008-59A3-4519-B3D0-42AEFC3EA556}] => (Allow) C:\Users\Маргарита\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{AA5AB43F-A6A8-4814-A24C-4C0B361A6AA8}] => (Allow) C:\Users\Маргарита\AppData\Local\Temp\csrss\lsa64.exe
FirewallRules: [{45F6CFA1-C79C-4304-865B-0736788040F4}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{8B13FCA5-9B4F-4501-BD8C-BF56F8221F03}] => (Allow) C:\Users\Маргарита\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{69727110-7F39-4ED2-9212-B0E7FF295AB3}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{60813514-AE55-4083-AE47-F387B9F35E9A}] => (Allow) C:\Users\Маргарита\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{7D438861-D8C3-4B2E-BFAC-119EE62F3E12}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{D8D12D74-35D9-48F7-94CE-E0B78D985A13}] => (Allow) C:\Users\Маргарита\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
C:\Windows\rss
Task: {1D3987A0-309C-4D58-9B74-3A1DC075BC87} - \csrss -> No File <==== ATTENTION
Task: {F558D166-3C59-40F5-BC27-936CEEA9D38B} - \ScheduledUpdate -> No File <==== ATTENTION
c:\users\Маргарита\appdata\local\temp\wup
C:\Users\Маргарита\AppData\Local\Temp\csrss
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
10.08.2018, 21:49
megoman

Вложений: 1

fixlog
10.08.2018, 22:14
thyrex

Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]
11.08.2018, 06:47
megoman

Вложений: 1

ужас сколько всего нашлось :swoon:
11.08.2018, 07:07
thyrex

Поместите в карантин МВАМ все, КРОМЕ
[CODE]Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\KMSAuto, Проигнорировано пользователем, [0], [392686],1.0.6297
Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4411B86A-782B-4737-BF6B-0279B84D4496}, Проигнорировано пользователем, [0], [392686],1.0.6297
Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{4411B86A-782B-4737-BF6B-0279B84D4496}, Проигнорировано пользователем, [0], [392686],1.0.6297

RiskWare.Tool.HCK, C:\PROGRAM FILES\WINRAR\KEYGEN-FFF.EXE, Проигнорировано пользователем, [7840], [65942],1.0.6297
HackTool.FilePatch, C:\PROGRAM FILES\WPS OFFICE\PATCH.EXE, Проигнорировано пользователем, [7901], [281135],1.0.6297

Generic.Malware/Suspicious, C:\WINDOWS\SYSTEM32\TASKS\KMSAuto, Проигнорировано пользователем, [0], [392686],1.0.6297
Generic.Malware/Suspicious, C:\WINDOWS\KMSAUTO.EXE, Проигнорировано пользователем, [0], [392686],1.0.6297
[/CODE]После этого сделайте новый лог FRST.txt
11.08.2018, 08:15
megoman

Вложений: 1

сделал
11.08.2018, 08:37
thyrex

Эти файлы и папки[QUOTE]C:\ProgramData\xmmnsjsx.nap
C:\Users\Маргарита\AppData\Roaming\pwyds1m44db
C:\Users\Маргарита\AppData\Roaming\l1f2wsetoik
C:\Users\Маргарита\AppData\Roaming\5haq234a1zd
C:\Users\Маргарита\AppData\Roaming\enatxlfgjjz
C:\Users\Маргарита\AppData\Roaming\1vs4ctxwc1q
C:\Users\Маргарита\AppData\Roaming\4nqzv33m2ou
C:\Users\Маргарита\AppData\Local\XService
C:\Users\Маргарита\AppData\Local\installer.dat
C:\Users\Маргарита\AppData\Roaming\lsa64.log[/QUOTE]удалите вручную

Проблема решена?
11.08.2018, 09:01
megoman

Удалил все что вы указали.
Большое спасибо за помощь!
Не могу точно утверждать на счет решения проблемы, так как ранее зараза не особо наглядно себя проявляла, кроме алертов антивируса и подмены страниц в браузере, ее присутствия не замечал. Но, по крайней мере, именно эти симптомы устранены. Будем считать что вам удалось справиться с моей проблемой. Еще раз большое спасибо! :clapping:
11.08.2018, 09:30
thyrex

C:\Program Files\Powzip еще удалите вручную, если папка имеется. И все используемые пароли (авторизации в системе, на сайтах, почтовом сервере и т.п.) смените. На этом и закончим
11.08.2018, 09:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\aposl\9783491.exe - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B][*] c:\programdata\quoteex\triois.dll - [B]not-a-virus:AdWare.Win32.Linkury.dup[/B][*] c:\users\маргарита\appdata\local\temp\csrss\scheduled.exe - [B]Trojan-Downloader.Win32.Bandit.aql[/B][*] c:\users\маргарита\appdata\local\temp\wup\wup.exe - [B]not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen[/B][*] c:\users\маргарита\appdata\local\xservice\xservice.dll - [B]Trojan-PSW.Win32.Agent.thgc[/B][*] c:\windows\rss\csrss.exe - [B]Trojan-Downloader.Win32.Bandit.apr[/B][*] c:\windows\windefender.exe - [B]Trojan.Win32.Agentb.jbdt[/B][*] c:\windows\zmjfooboivrzvths.zmjf - [B]UDS:DangerousObject.Multi.Generic[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]