Подхватил где-то #TMP.exe вирус. Кроме этого были ShareFolder и прочая ерунда, но с ней вроде справился. А этот никак не выкорчевывается. В автозапуске еще сидел 2125560621255606.exe. Отключить, отключил, осталось выкорчевать тоже.
Printable View
Подхватил где-то #TMP.exe вирус. Кроме этого были ShareFolder и прочая ерунда, но с ней вроде справился. А этот никак не выкорчевывается. В автозапуске еще сидел 2125560621255606.exe. Отключить, отключил, осталось выкорчевать тоже.
Уважаемый(ая) [B]Vjick[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\temp\sppsvc.exe');
DeleteFile('C:\Program Files (x86)\prTmaNwFK\prTmaNwFK.dll', '64');
DeleteFile('C:\TEMP\b4af406cd1\mjlooy.exe', '64');
DeleteFile('C:\Users\Professional\AppData\Local\ConsoleAlert\WcqouptGames\ehp_Interlcfxc.dll', '');
DeleteFile('C:\Users\Professional\AppData\Local\ConsoleAlert\WcqouptGames\ehp_Interlcfxc.dll', '64');
DeleteFile('C:\Users\Professional\AppData\Roaming\21256393\2125560621255606.exe', '32');
DeleteFile('C:\Users\Professional\AppData\Roaming\21256393\2125560621255606.exe', '64');
DeleteFile('C:\Users\Professional\AppData\Roaming\sysinfotool\sitool.exe', '64');
DeleteFile('c:\windows\temp\sppsvc.exe', '');
DeleteFileMask('c:\program files (x86)\prtmanwfk', '*', true);
DeleteFileMask('c:\temp\b4af406cd1', '*', true);
DeleteFileMask('c:\users\professional\appdata\local\consolealert', '*', true);
DeleteFileMask('c:\users\professional\appdata\roaming\21256393', '*', true);
DeleteFileMask('c:\users\professional\appdata\roaming\sysinfotool', '*', false);
DeleteDirectory('c:\program files (x86)\prtmanwfk');
DeleteDirectory('c:\temp\b4af406cd1');
DeleteDirectory('c:\users\professional\appdata\local\consolealert');
DeleteDirectory('c:\users\professional\appdata\roaming\21256393');
DeleteDirectory('c:\users\professional\appdata\roaming\sysinfotool');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '218457123', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '218457123', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('Microsoft\Windows\Chkdsk\System.Tmin');
DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\ToolSystemInfo');
DeleteSchedulerTask('mjlooy.exe');
DeleteSchedulerTask('prTmaNwFK');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Добавил отчет FRST. Сейчас Symantec нашел еще пару экзешников с длинным названием с угрозой Heur.AdvML.C.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C2670968-2D10-42D2-8963-E93923B24B74} - System32\Tasks\prTmaNwFK => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\prTmaNwFK\prTmaNwFK.dll",prTmaNwFK <==== ВНИМАНИЕ
Edge DefaultSearchURL: Default -> hxxps://www.serci.info?q={searchTerms}&gd=SY1001981
Edge DefaultSuggestURL: Default -> hxxps://suggest.finditnowonline.com/suggestionfeed/suggestion?format=json&gd=SY1001982&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
Folder: C:\Users\Professional\AppData\Roaming\ca82a716069a53
2021-12-25 18:37 - 2021-12-25 18:37 - 000000000 ____D C:\Users\Professional\AppData\Roaming\ca82a716069a53
2021-12-25 18:36 - 2021-12-26 18:07 - 000000000 ____D C:\Program Files (x86)\prTmaNwFK
Folder: C:\Program Files (x86)\temp_files
2021-12-25 18:35 - 2021-12-25 18:35 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-12-25 18:35 - 2021-12-25 18:35 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-12-25 18:35 - 2021-12-25 18:35 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2021-12-25 18:35 - 2021-12-25 18:35 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
Folder: C:\Users\Professional\AppData\Roaming\ProfCleaner
Folder: C:\Users\Professional\AppData\Roaming\AW Manager
Folder: C:\ProgramData\OPYK7CUKVOEYYZRNA3M7C3066
Folder: C:\ProgramData\AL7G0JQP1FZ4M9VJ1CBBSXGAU
Folder: C:\Program Files (x86)\Company
2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Users\Professional\AppData\Roaming\ProfCleaner
2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Users\Professional\AppData\Roaming\AW Manager
2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\ProgramData\OPYK7CUKVOEYYZRNA3M7C3066
2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\ProgramData\AL7G0JQP1FZ4M9VJ1CBBSXGAU
2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Program Files (x86)\Company
2021-12-25 18:33 - 2021-12-25 18:33 - 000000000 _____ C:\Users\Professional\AppData\Roaming\A70.tmp
2021-12-25 18:33 - 2021-12-25 18:33 - 000000000 _____ C:\Users\Professional\AppData\Roaming\128F.tmp
2021-12-25 20:33 - 2021-11-07 19:38 - 000000000 ____D C:\ProgramData\Lavasoft
File: C:\Users\Professional\AppData\Local\7637a16b-acaf-4277-887f-ebc89daa8f36.exe
File: C:\Users\Professional\AppData\Local\95e0687e-73cb-4654-b13d-24631f2fd7dc.exe
2021-12-25 18:35 - 2021-12-25 18:35 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2021-12-25 18:35 - 2021-12-25 18:35 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
2021-12-25 18:34 - 2021-12-25 18:34 - 000167424 _____ (jbsgduifsaj) C:\Users\Professional\AppData\Local\7637a16b-acaf-4277-887f-ebc89daa8f36.exe
2021-12-25 18:34 - 2021-12-25 18:34 - 000107520 _____ (HostingPhot) C:\Users\Professional\AppData\Local\95e0687e-73cb-4654-b13d-24631f2fd7dc.exe
HKU\S-1-5-21-1220727265-1287909551-3285080408-1001\...\StartupApproved\Run: => "218457123"
FirewallRules: [TCP Query User{50D3F6C2-5B3A-47CD-85FD-D63D854D2F91}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [UDP Query User{F94E7DAD-9988-4719-9D5E-E60112FCBF18}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [TCP Query User{DAFDC056-F719-4547-A38C-DCAA21918C36}C:\program files (x86)\company\newproduct\jg1_1faf.exe] => (Block) C:\program files (x86)\company\newproduct\jg1_1faf.exe => Нет файла
FirewallRules: [UDP Query User{EB193141-D090-4EF3-B2A4-629470C42EDD}C:\program files (x86)\company\newproduct\jg1_1faf.exe] => (Block) C:\program files (x86)\company\newproduct\jg1_1faf.exe => Нет файла
FirewallRules: [{B0651ADF-DE2C-44D6-855C-1F040DC49544}] => (Allow) C:\Windows\system32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{69E9BBEE-E147-4315-BDF9-68DB903AB6C7}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{6030D507-071E-488D-9182-7BADE2EA90D2}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Добавил Fixlog
Порядок, зачистили всё от зловреда.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Спасибо! Все получилось!