1. браузер не позволяет войти на сайты с антивирусами
2. не стабильно работает система
Printable View
1. браузер не позволяет войти на сайты с антивирусами
2. не стабильно работает система
Уважаемый(ая) [B]Денис Богач[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O2 - HKLM\..\BHO: YoutubeDownloader - {DF4BBE8F-62D5-47BC-8D78-E06A18ED510E} - C:\Program Files (x86)\BdAKRcyEFIE\th9m0OamU.dll
O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: gZaNTwEAcszYFtGWkmA2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll",#1
O22 - Task: hZWdCklbJJKUAe - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll",#1
O22 - Task: txOoFsZvhktTFIT2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll",#1
O22 - Task: XHzoDqsLChdlDpKJg2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll",#1
O22 - Task: zWaRGDdIQUFJO2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf"
[/CODE]
Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:
[CODE]
8.8.8.8
8.8.4.4
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','');
QuarantineFileF('C:\ProgramData\rJOKrOTOvoFGzgVB', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','');
QuarantineFileF('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','');
QuarantineFileF('C:\Program Files (x86)\QoARRVEKU', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','');
QuarantineFileF('C:\Program Files (x86)\wnaqsFdhQNmU2', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','');
QuarantineFileF('C:\Program Files (x86)\LpROwAoVAdOJC', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
DeleteSchedulerTask('gZaNTwEAcszYFtGWkmA2');
DeleteFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','64');
DeleteFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','64');
DeleteSchedulerTask('hZWdCklbJJKUAe');
DeleteSchedulerTask('txOoFsZvhktTFIT2');
DeleteFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','64');
DeleteFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','64');
DeleteFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','64');
DeleteSchedulerTask('zWaRGDdIQUFJO2');
DeleteSchedulerTask('XHzoDqsLChdlDpKJg2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Спасибо, что помогаете!
Удалите следующие приложение через установку приложений в панели управления:
[CODE]NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe" /uninstall
NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"[/CODE]
P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
[QUOTE=SQ;1518562]Удалите следующие приложение через установку приложений в панели управления:
[CODE]NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe" /uninstall
NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"[/CODE]
P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.
[URL="https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599"]Удалите в AdwCleaner[/URL] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]
Отчёт во вложении. В списке программа была, а при удалении выдало сообщение (на скрине во вложении). Обнаружил в карантине, удалил.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Скрин приложил, снял галку один месяц и поставил 90 дней
[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {B8A92035-E88B-4B00-A490-E9D1EDDDFD7D} - \HP\HP CoolSense\HP CoolSense Start at Logon -> Нет файла <==== ВНИМАНИЕ
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSKHKLM => не найдено
CHR Extension: (YoutubeDownloader) - C:\Users\bogac\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn [2020-10-14] [UpdateUrl:hxxps://clients72.google.com/service/update2/crx] <==== ВНИМАНИЕ
Zip: C:\ProgramData\juutbubq.wrj;C:\ProgramData\mijprvzl.ern;
2021-02-13 12:47 - 2021-02-13 12:47 - 000012763 _____ C:\ProgramData\juutbubq.wrj
2021-02-13 12:47 - 2021-02-13 12:47 - 000000016 _____ C:\ProgramData\mntemp
2021-02-01 22:42 - 2021-02-01 22:42 - 000012670 _____ C:\ProgramData\mijprvzl.ern
File: C:\WINDOWS\system32\rdsxvmaudio.dll
Folder: C:\Users\bogac\AppData\Local\krnlss
Folder: C:\Users\bogac\AppData\Roaming\extrimhack
Folder: C:\Program Files\Common Files\PUBG
Folder: C:\ProgramData\Flock
2020-12-05 23:24 - 2021-02-25 14:57 - 000000000 ____D C:\ProgramData\Flock
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла
Folder: C:\Program Files (x86)\Transmission
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [778]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [778]
AlternateDataStreams: C:\Users\bogac\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\bogac\Application Data:NT [40]
AlternateDataStreams: C:\Users\bogac\Application Data:NT2 [778]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT2 [778]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [778]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [778]
FirewallRules: [{4DF18B91-D959-40DA-A2C2-BC2E630EBFEC}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯坜㑃偸攮數 => Нет файла
FirewallRules: [{7A8B2F6D-86A4-416F-9AD9-8B74E3E88BDB}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла
FirewallRules: [{045ABB4B-8A5C-414A-9E11-36017CD33FE9}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{8045BCAC-4456-47B5-8631-F098CC10A4B8}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯呜䥘硥e => Нет файла
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Карантин загружен.
Спасибо, уточните где лог fixlog.txt? Сообщите, что с проблемой?
[url]https://cloud.mail.ru/public/TcMn/U6Dc1aTPZ[/url]
не загрузился fixlog.txt, превысил допустимый объём, выложил в облако
Процесс: Утилита поиска строк (GREP) загружается как и прежде, исполнительный файл find.exe из C:\Windows\System32
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
[url]https://cloud.mail.ru/public/kajY/WZLrDZo4W[/url]
В логах ничего подозрительно не заметил только битые ссылки на объекты. в процессах нет запуска find.exe, уточните пожалуйста если он появляется сразу посе запуска ПК?
[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\77.0.3865.90\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart[/CODE]
Обратите внимание, что компьютер перегрузится, после выполнения фикса.
Прошу прощения, видимо я его закрыл вручную. Процесс запускается при перезагрузке. Я выполнил указанный скрипт и снова сделал образ, не выключая процесс. Новый образ по этой ссылке
[url]https://cloud.mail.ru/public/VJAX/NZg9bWBV6[/url]
так же лог после скрипта прикрепил
[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\ProgramData\Slack\find.exe
zoo %SystemDrive%\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
czoo
apply
;-------------------------------------------------------------
restart[/CODE]
Обратите внимание, что компьютер перегрузится, после выполнения фикса.
Прикрепите пожалуйста карантин по ссылке "[COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR]" вверху темы.
Скрипт отработал.
Карантин загрузил.
Проблема не ушла.
Образ после скрипта сделал:
[url]https://cloud.mail.ru/public/3PV9/gb1fgrcvL[/url]
Спасибо за карантин, я его отправил на проверку в вирлаб. я вам сообщу о результатах как получу.
На данный момент я пытаюсь понять по логам, источник запуска процесса find.exe
[ATTACH=CONFIG]684549[/ATTACH]
Могли бы проверить пожалуйста, если имется у Вас папка:
[CODE]C:\ProgramData\Slack[/CODE]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
Folder: C:\ProgramData\Slack
File: C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
File: C:\Windows\System32\DRIVERSTORE\FILEREPOSITORY\HPANALYTICSCOMP.INF_AMD64_F98B15466093B28E\X64\NEWTONSOFT.JSON.DLL
C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Здравствуйте,
Я получил ответ от вирлаба:
[QUOTE]Судя по всему, данная DLL является частью следующего вполне легитимного продукта:
[url]https://www.boxedapp.com/docs/index.html[/url]
Сама по себе она не вредоносная.[/QUOTE]
Я в логах не нашел данного ПО у Вас в логах, Вам что-то говорит указанная вирус аналитиком ПО?
1. Да, папка Slack в наличии и файл запуска с аналогичным названием в ней.
2. Лог сделал, приложил (в этот момент не уверен, что работал процесс "Утилита поиска строк (GREP)")
3. Ни малейшего представления о указанном ПО не имею