Здравствуйте.
НАчал улетать трафик на модеме. Поставил НетЛимитер увидел процесс, в диспетчере не отражается. На форуме нашёл совет про CureIT. Всё вычистилось, через месяц опять увидел активный процесс.
Printable View
Здравствуйте.
НАчал улетать трафик на модеме. Поставил НетЛимитер увидел процесс, в диспетчере не отражается. На форуме нашёл совет про CureIT. Всё вычистилось, через месяц опять увидел активный процесс.
Уважаемый(ая) [B]HeavyCub[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\ProgramData\Windows\Profile\dllhostn.exe');
TerminateProcessByName('C:\ProgramData\Windows\Profile\service.exe');
TerminateProcessByName('c:\programdata\windows\profile\wasp.exe');
TerminateProcessByName('c:\programdata\windows\profile\waspwing.exe');
QuarantineFile('C:\ProgramData\windows\dlchosts.exe', '');
QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
QuarantineFile('C:\ProgramData\Windows\Profile\dllhostn.exe', '');
QuarantineFile('C:\ProgramData\Windows\Profile\service.exe', '');
QuarantineFile('c:\programdata\windows\profile\wasp.exe', '');
QuarantineFile('c:\programdata\windows\profile\waspwing.exe', '');
QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinNAT', '');
QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinDAP', '');
QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinDAT', '');
QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteSchedulerTask('Microsoft\Windows\Bluetooth\Bluetooth');
DeleteFile('C:\ProgramData\windows\dlchosts.exe', '');
DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
DeleteFile('C:\ProgramData\Windows\Profile\dllhostn.exe', '');
DeleteFile('C:\ProgramData\Windows\Profile\dllhostn.exe', '64');
DeleteFile('C:\ProgramData\Windows\Profile\service.exe', '');
DeleteFile('C:\ProgramData\Windows\Profile\service.exe', '32');
DeleteFile('c:\programdata\windows\profile\wasp.exe', '');
DeleteFile('c:\programdata\windows\profile\wasp.exe', '64');
DeleteFile('c:\programdata\windows\profile\waspwing.exe', '');
DeleteFileMask('c:\programdata\windows', '*', true);
DeleteDirectory('c:\programdata\windows');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
К сожалению строку с Блютулзом пришлось удалить из скрипта. Скрин сделан. Карантин присоединён
Нужно выполнять по инструкции, то есть запускать эту версию:
[QUOTE]C:\Users\HeavyCub\Desktop\AutoLogger\AV\[B]av_z.exe[/B][/QUOTE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[quote="HeavyCub;1522172"]Карантин присоединён[/quote]
Копию карантина отправьте мне через личные сообщения, пожалуйста.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Карантин получил, спасибо!
Дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Вам спасибо.
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: K - K:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {096471cd-af84-11e9-a64b-020c5d54354f} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {09647989-af84-11e9-a64b-020c5d54354f} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {10ab1c9e-0517-11ea-ad88-0c5b8f279a64} - I:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {17bf47ce-5c6a-11eb-a804-0c5b8f279a64} - G:\setup.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {371b34ad-f85e-11e8-9525-0c5b8f279a64} - E:\AutoRun.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {4ae7f52e-089a-11eb-a671-0c5b8f279a64} - K:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {8819a98b-1a4f-11e9-ad04-0c5b8f279a64} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {8a52b1f1-fe91-11eb-a717-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {ab00c35f-f869-11e8-89d3-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {ab00c37a-f869-11e8-89d3-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {b0dae39d-3cf7-11ea-a6be-0c5b8f279a64} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {ea7fcc87-5788-11ea-87a5-0c5b8f279a64} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\MountPoints2: {f36a6a01-a6ba-11e9-88f6-50e5493005db} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2953750268-2083527549-570639992-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [3229696 2017-04-17] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
BootExecute: autocheck autochk * sh4native 7099
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0DFB8369-93DA-43FE-AE67-EB2AC5134362} - System32\Tasks\Microsoft\Windows\Maintenance\WinDAP => cmd /c start.bat
Task: {2542D370-225B-4C8F-8595-BD25AA22ABB7} - System32\Tasks\Microsoft\Windows\Maintenance\WinDAT => cmd /c dlhosts.exe || dlchosts.exe
Task: {CC286F69-D790-44FB-8BBB-2A12ECCF76E2} - System32\Tasks\Microsoft\Windows\Maintenance\WinNAT => 1.vbs
FirewallRules: [{2AC5055E-4096-4E01-A1CB-3BFA286150A5}] => (Allow) LPort=1688
FirewallRules: [{731E8E90-9ADC-4985-86D1-D2F61C6B6F78}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{DF641C43-0E1D-4D11-A26F-B608480F062F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{4D52585D-0603-4424-BCC2-A7FA7CA7706D}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{EBFB164D-9E7E-40EE-9C4E-32B0DC74F4A7}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{A6070432-8B0D-4FA3-AD2A-EEE64B8396A7}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{E79CFDFB-5EE5-444A-B781-0892E0F104EB}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{16BB42A5-0AA4-4A7F-B49B-BD52237C780F}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{3B46AC7B-6A68-4F21-BDBC-C92C43ED7186}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{2BDC39E9-A996-4612-B1C6-286DBED4AD6D}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{7E5144DF-BE57-48AF-84B0-E0ADCFB0010E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{5AC18544-388A-46C4-B2B9-6F8F4DCEBDFA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{8480C4D1-45FC-4091-9DB8-BE554B924734}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{A9B29CF0-D633-4577-8503-CA61040C1400}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{4B21A213-77F7-414F-8AF0-ECC6D5163F30}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Скопировал текст, куда вставить не нашёл: нажал просто исправить.
Всё правильно сделали. Что сейчас с проблемой?
После скрипта АВЗ папка C:\ProgramData\Windows чистая. После работы CureIt так же было. Будем мониторить откуда я эту гадость мог подцепить. Спасибо большое!
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
Сделано
------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 11.0.9600.18638 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.21.8 [color=red][b]Внимание! [url=https://download.teamviewer.com/download/TeamViewer_Setup.exe]Скачать обновления[/url][/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
-------------------------------- [ Media ] --------------------------------
iTunes v.12.9.5.7 [color=red][b]Внимание! [url=https://www.apple.com/ru/itunes/download/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Для проверки новой версии используйте приложение Apple Software Update^[/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.321 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.303 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.61 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AIDA64 v1.85.1600 AIO RePack by KpoJIuK [color=red][b]Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.[/b][/color]
UAC включите обязательно и постарайтесь установить все хотфиксы. Иначе рискуете снова заразиться.
"UAC включите обязательно и постарайтесь установить все хотфиксы." (с)
Бубен из кладовки доставать пришлось и времени убил больше 2 часов. Хром говорит что файлы вредные и не качал, IE предлагает выбрать папку куда сложить обновления и кнопка "обзор" не дает никакой реакции.
IE так и не хочет обновляться, нужен "Установщик модулей Windows", для него ещё два KB из вашего списка установлены, но не хочет ставиться, это на завтра. Спасибо за развлечение )))
[quote="HeavyCub;1522209"]Хром говорит что файлы вредные[/quote]
Это про какие файлы он так говорит?
При нажатии на подробнее выкидывает по сцылке: [URL="https://support.google.com/chrome/answer/6261569?p=mixed_content_downloads&visit_id=637689605438432213-834681518&rd=1"]https://support.google.com/chrome/answer/6261569?p=mixed_content_downloads&visit_id=637689605438432213-834681518&rd=1[/URL]
П.С.Через ТимВивер не очень удобно, завтра буду за компьютером покажу скрины IE, и Хрома, ИЕ складывает файлы на закачку в корзину оттуда нажимаешь загрузить - новое окошко с кнопкой "Обзор" тыканье в неё ничего не дает...
(KB4565354) пришлось поставить для того чтобы windows6.1-kb4537820 (обновление IE) установилось.
Странно, конечно. В итоге получилось всё обновить?
Рано радовался... обновление kb4537820 установилось, но после перезагрузки при загрузке не заработало и Win откатил изменение (2 попытки). Видимо обновить браузер для скачивания браузера не получится. В остальном все сделал. Благодарю.
Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]