Собрал лог через AutoLogger, но он получился 1,5 мб и форум не дал его прикрепить. Немного его уменьшил(убрал из него HiJackThis.log и info.txt).
Можно по имеющейся информации понять: сидит что-то в системе или как?
Printable View
Собрал лог через AutoLogger, но он получился 1,5 мб и форум не дал его прикрепить. Немного его уменьшил(убрал из него HiJackThis.log и info.txt).
Можно по имеющейся информации понять: сидит что-то в системе или как?
Уважаемый(ая) [B]obtim[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=obtim;1522984]Немного его уменьшил(убрал из него HiJackThis.log и info.txt).[/QUOTE]
Выложите в облачное хранилище или на файлообменник в архиве и дайте ссылку.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Огромный размер логов вызван гигантским размером файла hosts, там прописаны блокировки нехороших ресурсов, но они совершенно не эффективны, т. к. адреса постоянно меняются, и могут тормозить работу в интернете. Предлагаю зачистить hosts.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Hosts зачистил. Запустил по новой Autologger. Результат прилагаю: [url]https://dropmefiles.net/ru/cWYvHQRLX[/url]
[url=http://virusinfo.info/showthread.php?t=130567]Удалите из вложений первый лог большого размера[/url].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
DeleteFile('C:\Program Files (x86)\Steam\bin\steamservice.exe', '64');
DeleteFile('C:\Users\obtim\AppData\Local\Temp\scoped_dir16768_757283352', '32');
DeleteFile('C:\Users\obtim\AppData\Local\Temp\scoped_dir16768_757283352', '64');
DeleteFile('C:\Users\obtim\appdata\roaming\drpsu\alice\cloud.exe', '');
DeleteFile('C:\Users\obtim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.exe', '64');
DeleteService('cpuz148');
DeleteService('cpuz149');
DeleteService('SANDRA');
DeleteFileMask('c:\users\obtim\appdata\roaming\drpsu', '*', true);
DeleteDirectory('c:\users\obtim\appdata\roaming\drpsu');
DelBHO('{C0283C00-AA11-43E4-8C1D-8D28A0C86042}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #3', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #3', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HD Tune Pro', 'x32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^obtim^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Update.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
1. Скрипт выполнил
2. После этого еще раз запустил Autologger - лог прикладываю
3. Лог Farbar Recovery Scan Tool так же прикладываю
[NOTICE]Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"[/NOTICE]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Task: {534147DC-05BE-43A5-A9F9-B7FF9B6B9B68} - System32\Tasks\OInstall => C:\Windows\OInstall.exe /activate (Нет файла)
CHR HomePage: Default -> hxxp://search.conduit.com/?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&ISID=ME56D6A80-4E31-4F80-84BB-CFECE76C3B94&SearchSource=55&CUI=&UM=5&UP=SP38EA3694-BC31-4E73-9E3B-4629244AAC64&SSPV=
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
U4 npcap_wifi; отсутствует ImagePath
2020-01-14 13:08 - 2020-02-10 17:18 - 000000058 _____ () C:\Users\obtim\AppData\Local\WNkfgwlqMtQmSeJjFBcEa3hn9Keyf8LLPdA
AlternateDataStreams: C:\Windows:CM_e8476cbaa8c2eac5e3b99250d862baa10892e67a7316cdbf1dcfa42e385a1490 [74]
AlternateDataStreams: C:\ProgramData\TEMP:1F8C9007 [147]
AlternateDataStreams: C:\ProgramData\TEMP:8EFFFE8D [183]
AlternateDataStreams: C:\ProgramData\TEMP:A6A6AC42 [154]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
BHO: Envy Web Download Hook -> {C0283C00-AA11-43E4-8C1D-8D28A0C86042} -> C:\Program Files\Envy\Plugins\WebHook64.dll => Нет файла
BHO-x32: Нет имени -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Нет файла
FirewallRules: [{3CD15300-3329-4ED9-9F4A-49A38B0FA18E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{89C432F8-4B05-4B7A-A82E-F8E850379121}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{0DEE90D3-9F2B-4CA1-9F6A-6B82A401A454}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{D576512F-D725-4681-91E4-7BBBE44493ED}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{BD360C82-E8D3-4169-94F5-3440E3566980}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\planets under attack\game.exe => Нет файла
FirewallRules: [{0C78100F-72A3-4B11-ADBC-E41B8662E73E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\planets under attack\game.exe => Нет файла
FirewallRules: [{2CA24D54-AC5F-4E86-9737-DCAA72353351}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{05E23168-96AD-4D84-A6E8-E0D6DC587C22}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{D0319E3D-D32D-48B3-B8FC-E2270F781639}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [UDP Query User{36612C9F-CC84-485A-9D25-102F11D2DE89}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [TCP Query User{528FD854-D102-4102-9161-5B6C0CADA8E9}C:\program files (x86)\manycam\manycam.exe] => (Allow) C:\program files (x86)\manycam\manycam.exe => Нет файла
FirewallRules: [UDP Query User{AF24D8C1-B915-4F0B-A162-58FE0E563515}C:\program files (x86)\manycam\manycam.exe] => (Allow) C:\program files (x86)\manycam\manycam.exe => Нет файла
FirewallRules: [TCP Query User{9598127D-A0D3-4C76-B788-0FC87BA8AF72}C:\googleportable\app\chrome-bin\chrome.exe] => (Allow) C:\googleportable\app\chrome-bin\chrome.exe => Нет файла
FirewallRules: [UDP Query User{0A0C5474-71AF-43EC-9F7F-71098622B1CF}C:\googleportable\app\chrome-bin\chrome.exe] => (Allow) C:\googleportable\app\chrome-bin\chrome.exe => Нет файла
FirewallRules: [TCP Query User{AE838255-10E0-48DA-A928-ED354D529319}C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{001457A4-2D0C-418E-B4AD-1F2948780006}C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{8E409B4F-4527-4EAB-A424-FF284D2E07E2}C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{E09BEEF7-12E6-4B95-AE45-A2217CF6B175}C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{E5051A62-DB0F-439B-9998-C13BBDDD0249}C:\tgsoft_20_03_2020\inviter\start.exe] => (Allow) C:\tgsoft_20_03_2020\inviter\start.exe => Нет файла
FirewallRules: [UDP Query User{CD8306BB-14ED-47FC-8BA2-18F5F2FF397F}C:\tgsoft_20_03_2020\inviter\start.exe] => (Allow) C:\tgsoft_20_03_2020\inviter\start.exe => Нет файла
FirewallRules: [TCP Query User{5FF535A3-CC38-4F1F-8CE7-DDBA1304295C}C:\corbet\autocorbetcb\autobetfree.exe] => (Allow) C:\corbet\autocorbetcb\autobetfree.exe => Нет файла
FirewallRules: [UDP Query User{AC1F77D0-6F8B-4E4E-B304-880E2AAB059B}C:\corbet\autocorbetcb\autobetfree.exe] => (Allow) C:\corbet\autocorbetcb\autobetfree.exe => Нет файла
FirewallRules: [{379F7E7E-D7FA-4CDC-A4BE-F3FD7EC0AE0A}] => (Allow) C:\Users\obtim\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{DED2AB5D-6967-4B09-BDCD-AD9605D74A08}] => (Allow) C:\Users\obtim\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{11931482-0D0D-456D-9583-8CD440E0C38A}] => (Allow) c:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{91B64B54-3A38-4203-9AB9-2E70098BBEE5}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [TCP Query User{BCE3C300-DD80-464F-865F-FF341B1E7216}C:\bet365-scraper-master\main.exe] => (Allow) C:\bet365-scraper-master\main.exe => Нет файла
FirewallRules: [UDP Query User{42419ACF-830E-416C-BF10-A6113F08E1BF}C:\bet365-scraper-master\main.exe] => (Allow) C:\bet365-scraper-master\main.exe => Нет файла
FirewallRules: [{A7C99888-7812-49D8-AED8-65A1BF18273D}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{885F8F4A-C91E-4C16-9098-7B24551EB7A0}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{EE58BFB5-31C2-43C1-A113-29427800681E}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{29AAF612-6893-4829-B003-95C684C49FF6}C:\program files\longomatch video analysis\longomatch.exe] => (Allow) C:\program files\longomatch video analysis\longomatch.exe => Нет файла
FirewallRules: [UDP Query User{2E131E8C-B038-450B-AD84-5746970D6413}C:\program files\longomatch video analysis\longomatch.exe] => (Allow) C:\program files\longomatch video analysis\longomatch.exe => Нет файла
Virustotal: C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe
File: C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Прикладываю
То, что на жёлтом фоне пишут, Вы не читаете, или не воспринимаете?
Ошибку понял: внес исправления.
Сделайте исправление в FRST с таким кодом:[CODE]Start::
2021-07-25 11:52 - 2021-07-25 11:52 - 002691072 ___SH () C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe
End::[/CODE]
Новый Fixlog.txt прикрепите.
Сделано: [ATTACH=CONFIG]686358[/ATTACH]
Один неактивный троян найден и удалён, почистили также мусор.
Проблема не вирусная явно.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Сделано
По возможности обновите виртуалки:[QUOTE]Oracle VM VirtualBox 6.1.16 v.6.1.16 [color=red][b]Внимание! [url=https://www.virtualbox.org/wiki/Downloads]Скачать обновления[/url][/b][/color]
VMware Workstation v.12.5.9 [color=red][b]Внимание! [url=https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.2.1-18811642.exe]Скачать обновления[/url][/b][/color][/QUOTE]
Обновите 7-zip до релиза 21.06.
На этом всё.
Спасибо!