следы zam antispyware driver 06466760.sys восстановился netfilter2 руткит
Printable View
следы zam antispyware driver 06466760.sys восстановился netfilter2 руткит
Новые логи Farbar Recovery Scan Tool сделайте.
за 90 дней дополнительно всё отметил
[QUOTE]Error: (03/15/2023 06:23:21 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Загрузка \SystemRoot\SysWow64\DRIVERS\AvgArCln.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера.[/QUOTE]
Не надо пытаться проверить систему всеми возможными антиdирусами, в т. ч. древним AVG, только проблем больше. Zemana тоже не сама собой вылезла, наверняка, с каким-то ещё антивирусом.
[QUOTE]Error: (03/15/2023 06:23:31 PM) (Source: BugCheck) (EventID: 1001) (User: )
Description: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000001e (0xffffffffc0000005, 0xfffff8000389a21d, 0x0000000000000000, 0xffffffffffffffff). Дамп памяти сохранен в: C:\Windows\Minidump\031523-13728-01.dmp. Код отчета: 031523-13728-01[/QUOTE]Это, скорее всего, с памятью проблемы. Убирайте разгон, если есть, проверяйте на ошибки.
Выполняйте в безопасном режиме.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Task: {9A6E9940-8015-4D6E-AD5C-2F55974F93F9} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe /off=act (Нет файла)
FF Plugin-x32: @jlgplayer3.julegame.com -> C:\Users\Tester\AppData\Local\JuleGame\jlgplayer\npjlgplayer3.dll [Нет файла]
S1 AvgArCln; C:\Windows\SysWOW64\DRIVERS\AvgArCln.sys [3968 2007-01-18] (GRISOFT, s.r.o.) [Файл не подписан]
R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.)
R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.)
S1 amsdk; \??\C:\Windows\system32\drivers\amsdk.sys [X]
S1 epp; \??\C:\Program Files\Emsisoft Anti-Malware\epp.sys [X]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
2023-02-24 15:17 - 2023-02-24 15:18 - 017957880 _____ C:\Users\Tester\Downloads\adawarewebinstaller.exe
2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zamguard64.sys
2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zam64.sys
2023-02-13 14:14 - 2023-02-13 14:14 - 000000000 ____D C:\Users\Tester\Downloads\Loaris Trojan Remover 3.1.60 RePack (& Portable) by elchupacabra
2023-03-16 05:48 - 2021-02-20 11:59 - 000062753 _____ C:\Windows\ZAM.krnl.trace
2023-03-16 05:48 - 2021-02-20 11:59 - 000036547 _____ C:\Windows\ZAM_Guard.krnl.trace
C:\Windows\SysWOW64\DRIVERS\AvgArCln.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06466760.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aswSP.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06466760.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aswSP.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zam64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zamguard64.sys => ""="Driver"
FirewallRules: [TCP Query User{D6420BE7-0DF8-495D-A93D-3214D25B313F}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла
FirewallRules: [UDP Query User{E43BE5D2-40A1-4045-B3C9-36D635B21567}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла
FirewallRules: [{A21866E0-A2C0-4E9C-838F-FD11A48A60C7}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла
FirewallRules: [{79CDBC4B-3E1C-4512-BB80-4CD9AEC10EB2}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла
FirewallRules: [{ECBADED4-B2D1-455F-AF67-9D61DCF461DD}] => (Allow) C:\Users\Tester\AppData\Local\Programs\Opera\94.0.4606.54\opera.exe => Нет файла
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMoney\Удаление WebMoney Keeper Classic 3.9.9.0.lnk -> C:\Program Files\Uninstall.exe (Нет файла)
Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\dzho_dzhirard_-_kak_prodat_chto_ugodno_komu_ugodn.LNK -> C:\Users\Tester\Downloads\dzho_dzhirard_-_kak_prodat_chto_ugodno_komu_ugodn.doc (Нет файла)
Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\VARIANTY_REKLAMNYKh_POSTOV.doc.LNK -> C:\Users\Tester\Downloads\[openssource.biz] Сетевой ВКонтакте\[openssource.biz] Сетевой ВКонтакте\10 шаг - таргетированная реклама\VARIANTY_REKLAMNYKh_POSTOV.doc (Нет файла)
Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\VARIANTY_REKLAMNYKh_POSTOV.LNK -> C:\Users\Tester\Downloads\[openssource.biz] Сетевой ВКонтакте\[openssource.biz] Сетевой ВКонтакте\10 шаг - таргетированная реклама\VARIANTY_REKLAMNYKh_POSTOV.doc (Нет файла)
Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\Документ Microsoft Word.docx.LNK -> C:\Users\Tester\Desktop\Документ Microsoft Word.docx (Нет файла)
Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\Нестеренко Артем – Сколько стоят ваши мозги. Или Безумные Принципы Нестера.LNK -> C:\Users\Tester\Downloads\1-nesterenko-mozgi\Нестеренко Артем – Сколько стоят ваши мозги. Или Безумные Принципы Нестера.doc (Нет файла)
StartBatch:
del /s /q C:\Windows\Minidump\*.dmp
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
plarium игра raid shadow legends тоже удалять я оставлю
Ок, убрал из фикса, выполняйте.
всё пофиксил
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
То, что рекомендовал сделать по логу SecurityCheck сделали? Если да - на этом всё.
всё удалил frst64.exe
Всё на этом тогда.
avast заканчивается лицензия 9 апреля что eset security ставить можно?
Официально Eset ушёл из РФ.
dotnetbrowser есть его удалить с папки roaming? может снова надо far recovery сново установить и проверить, может ещё malwarebytes проверить и логи выслать
[QUOTE=gredot;1527420]dotnetbrowser есть его удалить с папки roaming?[/QUOTE]Это не зловред, но программа не установлена, можно и зачистить, скорее всего.
[QUOTE=gredot;1527420]может снова надо far recovery сново установить и проверить[/QUOTE]Не знаю, что это такое, если честно.
[QUOTE=gredot;1527420]может ещё malwarebytes проверить и логи выслать[/QUOTE]Можно, но вряд ли что-то серьёзное найдётся. Что на данный момент беспокоит?
farbar recovery scan tools julegame ещё в реестре запись есть удалить можно?
Не знаю. Зачем удалять?
руткит удалён тему можно закрыть спасибо помогли