Папки в programmdata можете удалить руками. Весь мусор из реестра можете почистить с помощью программы Ccleaner, только используйте последнюю версию. А для начала скачайте свежий CureIt и сделайте полную проверку компьютера.
Printable View
Папки в programmdata можете удалить руками. Весь мусор из реестра можете почистить с помощью программы Ccleaner, только используйте последнюю версию. А для начала скачайте свежий CureIt и сделайте полную проверку компьютера.
[b]Aleksandra[/b], папки удалил, система прошла полную проверку, файлы из карантина "uVS" и "AVZ" были "обезврежены". Огромнейшее вам спасибо, пожалуй, лучший сервис онлайн-помощи и консультации, вы отличный специалист :)
Только вот, вопрос небольшой: когда я удаляю папку "RealtekHD" и "WindowsTask", спустя время, они возвращаются на место - это нормальное явление?
Надеюсь, что сервис будет работать еще очень долго!
Прикрепляю победные логи ( на всякий случай ) :
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]Aleksandra[/b], хотя, я после проделанных действий описанных выше, перезагрузил компьютер, открыл приложение "EpicGames" и они снова появились ( но, даже если бы не перезагружал, они все равно, спустя время, появились бы ).
В папке "WindowsTask" ( programmdata/windowstask ) добавился еще один файл "AMD.exe"
Касательно появления: появляется, вроде тогда, когда запускаю эту программу. ( два раза запускал, и он мгновенно, практически, запускался и файлы восстанавливались )
Проделал все в безопасном режиме, но и там ситуация такая же.
Добавление 15:35 - проверил точно, приложение "EpicGames" никак не причастно к появлению процесса.
Как я понял, вирус появляется спустя время после перезагрузки компьютера. Возможно, есть файлы, которые провоцируют его появление, но я не уверен и не проверял.
Вот, что интересного смог достать ( один скриншот ) :
Сделайте лог с помощью этой утилиты [url]https://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe[/url]
[b]Aleksandra[/b], сделал два лога: один, сразу после работы утилиты "Dr. Web Cure It", а другой с нарочно спровоцированным троянским ПО.
Также, заметил странный процесс "dllhost.exe", после его появления ( а он появляется несколько раз на определенное время, как я успел просмотреть, где-то на секунд 5-15 ) появляются и сами файлы и что, для меня, кажется наиболее неестественным так это то, что после того, как хочешь узнать его месторасположение он сразу пропадает, так и не открыв папку или директорию.
Загружал на "Яндекс.Диск", мало места.
1-ый лог ( без троянского ПО ): [url]https://yadi.sk/d/s1a3AIqj3ZmUFE[/url]
2-ой лог ( сделанный с нарочно спровоцированным троянским ПО ): [url]https://yadi.sk/d/CFFYClQP3ZmUGu[/url]
Прямая ссылка на обновления безопасности MS17-010 [url]http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu[/url]
Установите...
Скачайте [url]https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns[/url]
Распакуйте на рабочий стол, запустите Autoruns64.exe и в секции wmi удалите KernCap.vbs:
[CODE]<wmi>
<item namespace="root\subscription" instance="\\ДАНИЛА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="BVTConsumer"" workdir="C:\\tools\\kernrate" class="CommandLineEventConsumer" clsid="{266c72e5-62e8-11d1-ad89-00c04fd8fdff}" value="CommandLineTemplate" data="cscript KernCap.vbs" arkstatus="suspicious" />
</wmi>[/CODE]
[b]Aleksandra[/b], в секции "WMI" файл "KernCap.vbs" отсутствует. Только "BVTConsumer Microsoft ® Console Based Script Host Microsoft Corporation c:\windows\system32\cscript.exe" есть. Поиск ( Ctrl + F ) тоже ничего не находит по этому запросу. И, еще я не нашёл, где этот скрипт можно запустить.
Вы обновление поставили?
[b]Aleksandra[/b], да, изначально установил и перезагрузил компьютер. Могу попробовать еще раз его установить.
[QUOTE=sapperti;1485933]Могу попробовать еще раз его установить.[/QUOTE]
Нет, не надо. Теперь удалите все папки куда закачивались вирусы.
[b]Aleksandra[/b], удалил, но они, все равно, продолжают закачиваться. 11:45 - Хотя, странно... они закачались сразу после удаления ( минуты 2 ), а теперь приостановили свою закачку. 15:37 - Нет, все же, они появляются, но нужно спровоцировать появление, допустим, открыть страницу в браузере с антивирусным ПО или запустить антивирусную утилиту. Они полностью исчезают тогда, когда очистка производится с помощью утилиты "Dr. Web Cureit", но, только до перезагрузки, после нее, спустя время, даже без активных действий, сами появляются.
[b]sapperti[/b], выполните, пожалуйста, для меня (в дальнейшем с Вами продолжит работу только Aleksandra) написанное ниже.
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
[b]thyrex[/b], извините за навязчивость, а как образом можно очистить файлы в менеджере вложений, не подскажете пожалуйста? ( просто, доступных кнопок или иконок, связанных с очищением/удалением не нашел, а очистка не производится ( если файл не используется час ). Места уже мало и не хватит для дальнейших отчетов. )
Действия выполнил, вот архив:
[quote="sapperti;1485956"]извините за навязчивость, а как образом можно очистить файлы в менеджеры вложений[/quote]Мой кабинет - Вложения.
Спасибо за архив.
[QUOTE]GridinSoft Anti-Malware
Trojan Killer[/QUOTE]удалите через Установку программ.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Folder: C:\Program Files\RDP Wrapper
Folder: C:\disk
Folder: C:\rdp
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor)
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers1: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => -> No File
ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => -> No File
ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => -> No File
ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
Task: C:\Windows\Tasks\GridinSoft Anti-Malware.job => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 GridinSoftInetSecurityDriver; C:\Windows\System32\DRIVERS\gsInetSecurity.sys [102736 2018-07-20] (GridinSoft LLC)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\07352226.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08369112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\39622616.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\51657089.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79889829.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\84848429.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\C9636BEC6.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\07352226.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08369112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\39622616.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\51657089.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79889829.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\84848429.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\C9636BEC6.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
FirewallRules: [{90DD39A2-126A-41E7-AB67-A469A043634F}] => (Allow) C:\Windows\SysWOW64\gUaIimoUOUUu.exe
C:\Windows\SysWOW64\gUaIimoUOUUu.exe
S3 TrojanKillerDriver; C:\Windows\System32\DRIVERS\gtkdrv.sys [38216 2018-07-20] (GridinSoft LLC)
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD
2018-07-31 18:20 - 2018-07-31 19:02 - 000000000 ___HD C:\Program Files (x86)\Temp
2018-07-29 17:28 - 2018-07-29 17:28 - 000000000 ____D C:\Program Files\Trojan Killer
2018-07-29 03:03 - 2018-07-29 03:03 - 000000294 _____ C:\Windows\Tasks\GridinSoft Anti-Malware.job
2018-07-28 23:33 - 2018-07-28 23:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2018-07-28 23:30 - 2018-07-28 23:33 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2018-07-28 22:52 - 2018-07-28 22:52 - 000000000 ____D C:\Users\Все пользователи\GridinSoft
2018-07-28 22:52 - 2018-07-28 22:52 - 000000000 ____D C:\ProgramData\GridinSoft
2018-07-28 22:11 - 2018-07-28 22:11 - 000478392 _____ (Kaspersky Lab ZAO) C:\Windows\system32\Drivers\C9636BEC6.sys
2018-07-20 17:51 - 2018-07-20 17:51 - 000102736 _____ (GridinSoft LLC) C:\Windows\system32\Drivers\gsInetSecurity.sys
2018-07-20 17:51 - 2018-07-20 17:51 - 000038216 _____ (GridinSoft LLC) C:\Windows\system32\Drivers\gtkdrv.sys
2018-06-23 23:02 - 2018-07-27 13:37 - 000000008 __RSH C:\Users\Все пользователи\ntuser.pol
2018-06-23 23:02 - 2018-07-27 13:37 - 000000008 __RSH C:\ProgramData\ntuser.pol
2018-06-23 23:02 - 2018-07-27 08:28 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2018-06-23 23:02 - 2018-07-27 08:28 - 000000000 __SHD C:\ProgramData\Doctor Web
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Norton
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Norton
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\grizzly
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files\AVG
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\WindowsDefender
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\SysWOW64\xmr64
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\SysWOW64\hhsm
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\min
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\hs_module
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Данила\AppData\Local\kara
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\windowsdriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Windowsdata
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\GOOGLE
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Cefunpacked
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Avira
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\AudioHDriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\360TotalSecurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\360safe
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\windowsdriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Windowsdata
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\GOOGLE
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Cefunpacked
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Avira
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\AudioHDriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\360TotalSecurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\360safe
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\McAfee.com
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\disk
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 ____D C:\Program Files\COMODO
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 ____D C:\Program Files (x86)\360
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\windowshelper
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\WindowsApps
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\syscore
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\Svcms
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\subdir
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\intel
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\TeamViewer
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\SystemIdle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\olly.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\Iostream.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\SystemIdle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\olly.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\Iostream.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH (Twain Working Group) C:\Users\Все пользователи\System Idle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH (Twain Working Group) C:\ProgramData\System Idle.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
[b]thyrex[/b], программы удалил через "Установщик программ". Текстовый документ "fixlist.txt" пропал после сканирования и вместо него появился "fixlog.txt" ( надеюсь, это значит, что я сделал все правильно ). Процесс появился сразу после перезагрузки компьютера "taskhostw.exe". Файлы ( в папках и реестре ) так и остались на месте. Логи прикрепил:
Содержимое файла C:\rdp\bat.bat процитируйте в следующем сообщении
Отключите через msconfig автозапуск всех приложений, включая антивирус, удалите папку с вирусом, перезагрузите компьютер, сделайте новый лог FRST.txt
[b]thyrex[/b], извините, очень сильно сглупил: закрыл в диспетчере задач процесс "taskhostw.exe", после, открыл bat.bat: открылась командная строка и первые три строчки гласили "Отказано: доступ запрещен ( или что-то вроде этого )" после этого в командной строке появилось множество каких-то процессов. Также, скорее всего, этот "bat.bat" имеет отношение к "taskhostw.exe", так как после запуска "bat.bat" процесс "taskhostw.exe" появляется сразу в диспетчере задач. Но, основная ошибка состоит в том, что после того, как я закрыл процесс ( при повторной проверке ), командная строка закрылась автоматически, папка ушла в режим "скрытности", а файл "самодеактивировался" и папка стала пустовать. Единственное, что могу сказать: "bat.bat - пакетный файл". И, даже отключение процессов в разделе "Автозагрузка" не помогло: процесс, все равно появляется.
И, еще одна маленькая просьба: не могли бы вы пожалуйста поподробнее расписывать действия? Углубляться сильно не стоит. Просто, чувствую, что что-то упускаю в логистике действий.
Вот, логи:
1. Скачайте файл из вложения и сохраните в папку C:\Users\Данила\Downloads
2. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
[b]thyrex[/b], выполнил, вот логи:
P.S. процесс "RealtekHD" из раздела "Автозагрузка" после отключения, моментально включает себя.
Все написанное ниже выполняете в указанном порядке в безопасном режиме
1) Отключаете через msconfig запуск в автозагрузке всего, что не имеет отношения к системе, в т.ч. и антивирус, который продолжает бесполезно работать.
2) Удаляете вручную папки с вирусом + это скрытое добро, которое из-за кодировки не можем удалить скриптом
[QUOTE]2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Данила\AppData\Local\kara
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\windowshelper
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\WindowsApps
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\syscore
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\Svcms
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\subdir
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\intel
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\TeamViewer
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\Canon
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini
[/QUOTE]
3) Запрещаем RDP-порт
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
FirewallRules: [{6D5B1818-26A7-418A-BCC1-578629DC068B}] => (Allow) LPort=3389
FirewallRules: [{84D549C2-A3E7-4931-9D00-FC4517E56170}] => (Allow) LPort=3389
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]