Проверка AVZ обнаружила несколько майнеров (были удалены) и "kernel32.dll, таблица экспорта найдена в секции .text" (и еще несколько подобных). Есть ли повод беспокоится и если да то что делать? Спасибо.
Printable View
Проверка AVZ обнаружила несколько майнеров (были удалены) и "kernel32.dll, таблица экспорта найдена в секции .text" (и еще несколько подобных). Есть ли повод беспокоится и если да то что делать? Спасибо.
Уважаемый(ая) [B]Nisse[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero ControlCenter.lnk" -> ["C:\Program Files (x86)\Nero\Nero ControlCenter\NCC.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Uninstall Nero 2014.lnk" -> ["C:\Program Files (x86)\Nero\uninstall_Nero2014.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero Burning ROM.lnk" -> ["C:\Program Files (x86)\Nero\Nero 2014\Nero Burning ROM\StartNBR.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero Express.lnk" -> ["C:\Program Files (x86)\Nero\Nero 2014\Nero Burning ROM\StartNE.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vidalia Bridge Bundle\Tor\Documents\Tor Manual.lnk" -> ["C:\Program Files (x86)\Vidalia Bridge Bundle\Tor\Documents\tor-reference.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everything\Поиск Everything.lnk" -> ["C:\Program Files\Everything\Everything.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everything\Удаление Everything.lnk" -> ["C:\Program Files\Everything\Uninstall.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip.lnk" -> ["C:\Program Files\WinZip\winzip64.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\WinZip.lnk" -> ["C:\Program Files\WinZip\winzip64.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\DupKiller.lnk" -> ["C:\Program Files (x86)\DupKiller\DupKiller.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Запустить в безопасном режиме.lnk" -> ["C:\Program Files (x86)\DupKiller\DupKiller.exe" =>> -r]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\История.lnk" -> ["C:\Program Files (x86)\DupKiller\History.txt"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Лицензионное соглашение.lnk" -> ["C:\Program Files (x86)\DupKiller\License.txt"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Удалить DupKiller.lnk" -> ["C:\Program Files (x86)\DupKiller\Uninstall.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на английском).lnk" -> ["C:\Program Files (x86)\DupKiller\Help\Eng\help.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на русском).lnk" -> ["C:\Program Files (x86)\DupKiller\Help\Rus\help.html"]
>>> "C:\Users\Nepkot\Favorites\Links\Интернет.url" -> hxxp://rodolga.ru/?utm_source=favorites03&utm_content=31c755ec2932623e7655724dc79ac7d4&utm_term=6F3F1A5D0BA87D776DAC44E15441BA02&utm_d=20160530[/CODE]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MSConfig\startupfolder: C:^Users^Nepkot^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk [backup] = (2020/07/21) (no file)
O4 - MSConfig\startupreg: CPU_Control [command] = (no file) (HKCU) (2017/01/08)
O4 - MSConfig\startupreg: DAEMON Tools Ultra Agent [command] = (no file) (HKCU) (2016/08/22)
O4 - MSConfig\startupreg: Download Master [command] = (no file) (HKCU) (2016/03/28)
O4 - MSConfig\startupreg: MegaFon_MegaFonInternet [command] = (no file) (HKLM) (2018/07/12)
O4 - MSConfig\startupreg: movavi_suite_18.0.1_screenrecorder [command] = (no file) (HKCU) (2019/03/01)
O4 - MSConfig\startupreg: NetLimiter [command] = (no file) (HKCU) (2019/09/20)
O4 - MSConfig\startupreg: NvBackend [command] = (no file) (HKLM) (2019/03/01)
O4 - MSConfig\startupreg: Skype [command] = (no file) (HKCU) (2017/06/06)
O4 - MSConfig\startupreg: StartCCC [command] = (no file) (HKLM) (2018/07/12)
O4 - MSConfig\startupreg: SunJavaUpdateSched [command] = (no file) (HKLM) (2019/09/13)
O4 - MSConfig\startupreg: SyncManPath [command] = (no file) (HKCU) (2017/09/12)
O4 - MSConfig\startupreg: Vivaldi Update Notifier [command] = (no file) (HKCU) (2019/09/21)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuDiskoIconOverlay0: (no name) - {05EEE316-3AD4-4459-922B-B1CA88962F14} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuDiskoIconOverlay1: (no name) - {B5E0E0D5-A185-4D82-BFEE-3C51052EEA82} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuDiskoIconOverlay2: (no name) - {66FED18D-FC3D-4012-A8B3-41E77F6DCA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuDiskoIconOverlay3: (no name) - {55FED18D-FC3D-6019-A8B3-41E44F6DCA1A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuDiskoIconOverlay4: (no name) - {33FED18D-FC3D-6019-A8B3-41E44F6DCA1A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay0: Cloud Mail.Ru IconOverlay Class - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay1: Cloud Mail.Ru IconOverlay Class - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay2: Cloud Mail.Ru IconOverlay Class - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay0: (no name) - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay1: (no name) - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay2: (no name) - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Задачи просмотра событий (empty)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: \Microsoft\Windows\AA18572E0-FC39-49EF-911C-1EC2C3D8C154 - C:\Users\Nepkot\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\A18572E0-FC39-49EF-911C-1EC2C3D8C154\2B9271A6-71DC-4189-BFCC-1AE4A98EA550.exe --getupdate-npapi-plugin (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Запрашиваемые отчеты.
p.s. При попытке перейти по ссылке на утилиту ClearLNK открывается окно про войну с Украиной. Если переходить по ссылке при включённом VPN то скачивается нормально.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
S2 Chemtable Startup Checking; отсутствует ImagePath
S3 GalaxyClientService; отсутствует ImagePath
S3 GalaxyCommunication; отсутствует ImagePath
S2 Chemtable Startup Checking; отсутствует ImagePath
S3 GalaxyClientService; отсутствует ImagePath
S3 GalaxyCommunication; отсутствует ImagePath
CustomCLSID: HKU\S-1-5-21-3804073847-2059825028-1645387378-1000_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-3804073847-2059825028-1645387378-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> отсутствует путь к файлу
ContextMenuHandlers1_S-1-5-21-3804073847-2059825028-1645387378-1000: [!VideoMASTER] -> {8A7D38FA-6E11-48FF-8315-8B9EA08F5314} => -> Нет файла
ContextMenuHandlers3_S-1-5-21-3804073847-2059825028-1645387378-1000: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} => -> Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
CMD: sfc /scannow
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделано.
У Вас большие косяки в системе:[QUOTE]========= sfc /scannow =========
Защите ресурсов Windows не удается запустить службу восстановления.[/QUOTE]
Отсутствует файл[QUOTE]S3 TrustedInstaller; %SystemRoot%\servicing\TrustedInstaller.exe [X][/QUOTE]и соответствующая служба не работает, не устанавливаются обновления, компоненты системы, и, возможно, часть приложений.
Вирусов нет.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Спасибо! Можно ли как то исправить это не переустанавливая систему? Может что то типа Live cd?
Попробуем, вечером отвечу.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
1. Станьте владельцем папки C:\Windows\servicing - [URL="https://remontka.pro/take-ownership-windows/"]инструкция[/URL] И дайте себе полные права на неё.
2. Распакуйте в эту папку файл из вложения:
[ATTACH=CONFIG]687026[/ATTACH]
3. Скачайте [URL="https://www.tweaking.com/content/page/windows_repair_all_in_one.html"]Windows Repair (All In One) Portable[/URL], распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
[b]14[/b] "Remove Temp Files"
[b]16[/b] "Repair Windows Updates"
[b]25[/b] "Restore Important Windows Services"
[b]26[/b] "Set Windows Services To Default Startup"
[B]02 "Reset File Permissions"[/B]
и нажмите "[B]Start Repairs[/B]".
4. После перезагрузки загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Благодарю. Сделано.
[QUOTE]Internet Explorer 11.0.9600.17239 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color][/QUOTE]Попробуйте установить это обновление.
К сожалению не получилось. Пишет что "необходимо обновить установщик модулей Windows". Проверил при помощи WindowsUpdate.diagcab -все исправлено. Быть может это из за того что система уже не поддерживается? Впрочем ладно. Главное что основные ошибки исправлено и вирусов нет. Огромное спасибо за вашу помощь!