Printable View
Словил скорее всего какой-то майнер, при запуске браузера выдает какую-то страницу find-it pro, при запуске валоранта выдает синий экран "На вашем устройстве возникла проблема", скачал Malwarebytes старой версии, запустил проверку, после окончания он закрылся и не дает открываться.
Уважаемый(ая) [B]ch3ks1[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
логи
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\EydYjbNJU\eqUBRs.dll', '');
QuarantineFile('C:\Program Files (x86)\gytYeOXxdKSU2\KeUqiUaBrRlsU.dll', '');
QuarantineFile('C:\Program Files (x86)\zJHhowVlMibzDqywRTR\ypgWnum.dll', '');
QuarantineFile('C:\ProgramData\gngzmMDNLQUNrnVB\Hynyvom.wsf^', '');
QuarantineFile('C:\Users\lykov\AppData\Local\Programs\9f2ceb4a04\77863b7c2a.msi', '');
QuarantineFileF('c:\program files (x86)\eydyjbnju', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\program files (x86)\gytyeoxxdksu2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\program files (x86)\zjhhowvlmibzdqywrtr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\gngzmmdnlqunrnvb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\northward-rail', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\users\lykov\appdata\local\programs\9f2ceb4a04', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\Users\lykov\AppData\Roaming\{73A5C467-AD53-4C86-A16D-BE24B7A74E9C}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\EydYjbNJU\eqUBRs.dll', '64');
DeleteFile('C:\Program Files (x86)\gytYeOXxdKSU2\KeUqiUaBrRlsU.dll', '64');
DeleteFile('C:\Program Files (x86)\zJHhowVlMibzDqywRTR\ypgWnum.dll', '64');
DeleteFile('C:\ProgramData\gngzmMDNLQUNrnVB\Hynyvom.wsf^', '64');
DeleteFile('C:\ProgramData\northward-rail\bin.exe', '64');
DeleteFile('C:\Users\lykov\AppData\Local\Programs\9f2ceb4a04\77863b7c2a.msi', '64');
DeleteFileMask('c:\program files (x86)\eydyjbnju', '*', true);
DeleteFileMask('c:\program files (x86)\gytyeoxxdksu2', '*', true);
DeleteFileMask('c:\program files (x86)\zjhhowvlmibzdqywrtr', '*', true);
DeleteFileMask('c:\programdata\gngzmmdnlqunrnvb', '*', true);
DeleteFileMask('c:\programdata\northward-rail', '*', true);
DeleteFileMask('c:\users\lykov\appdata\local\programs\9f2ceb4a04', '*', true);
DeleteFileMask('C:\Users\lykov\AppData\Roaming\{73A5C467-AD53-4C86-A16D-BE24B7A74E9C}', '*', true);
DeleteDirectory('c:\program files (x86)\eydyjbnju');
DeleteDirectory('c:\program files (x86)\gytyeoxxdksu2');
DeleteDirectory('c:\program files (x86)\zjhhowvlmibzdqywrtr');
DeleteDirectory('c:\programdata\gngzmmdnlqunrnvb');
DeleteDirectory('c:\programdata\northward-rail');
DeleteDirectory('c:\users\lykov\appdata\local\programs\9f2ceb4a04');
DeleteDirectory('C:\Users\lykov\AppData\Roaming\{73A5C467-AD53-4C86-A16D-BE24B7A74E9C}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('AkjYdDjTfcxpD2');
DeleteSchedulerTask('Microsoft\Windows\WindowsUpdate\RUXIM\PLUGScheduler');
DeleteSchedulerTask('NgBhmxjntsStevp2');
DeleteSchedulerTask('OrRJPLvcsFNQbn');
DeleteSchedulerTask('stumble-shade');
DeleteSchedulerTask('textcortex-personal-S-1-5-21-3198282721-4291308098-467553584-1001');
DeleteSchedulerTask('wvUgWrpSLoQwFwwuJ2');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]- "C:\Users\Public\Desktop\Riot Client.lnk" (содержит только знаки NUL)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Riot Games\Riot Client.lnk" (содержит только знаки NUL)
>>> "C:\Users\lykov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\Windows\system32\osk.exe"]
>>> "C:\Users\lykov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\Windows\system32\narrator.exe"]
>>> "C:\Users\lykov\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\Windows\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\lykov\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\Windows\system32\mblctr.exe"]
>>> "C:\Users\lykov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\altV Multiplayer.lnk" -> ["D:\altv1\altv.exe"]
>>> "C:\Users\lykov\OneDrive\Рабочий стол\Photoshop.lnk" -> ["C:\Users\lykov\OneDrive\Рабочий стол\Photoshop 2020\Portable Adobe Photoshop\Photoshoр.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk" -> ["C:\Program Files (x86)\Windows Media Player\wmplayer.exe" =>> /prefetch:1]
>>> "C:\Users\Public\Desktop\FIFA 23.lnk" -> ["C:\Program Files\EA Games\FIFA 23\FIFA23.exe"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Дубль на SZ.