Посмотрите логи

Printable View

07.06.2020, 18:47
vitalik0492

Вложений: 1

Посмотрите логи

ПК самопроизвольно перезагружается, обнаружена маскировка процессов
07.06.2020, 18:51
Info_bot

Уважаемый(ая) [B]vitalik0492[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.06.2020, 19:03
mike 1

Здравствуйте, сделайте такой [url=https://clck.ru/NsBzq]лог[/url]
07.06.2020, 19:13
vitalik0492

Вложений: 1

adwcleaner

Не является приложением win32, собрал другой версией.
07.06.2020, 20:02
mike 1

Я не этот отчет просил.
07.06.2020, 20:16
vitalik0492

По Вашей ссылке скаченное приложение у меня не запускается, ошибка "не является приложением win32". Дайте пожалуйста ссылку на более раннюю версию или другое приложение.
07.06.2020, 20:58
mike 1

Попробуйте [url=https://clck.ru/NsF69]эту версию[/url]
07.06.2020, 21:25
vitalik0492

Вложений: 1

Сделано
07.06.2020, 23:49
mike 1

Поместите в карантин все найденное.
08.06.2020, 11:21
vitalik0492

Вложений: 1

Файлы в карантине с 07.04.20 но сегодня 08.04.20 при сканировании Malwarebytes обнаружила новые угрозы (лог прикрепляю).
08.06.2020, 20:17
mike 1

Поместите в карантин только это:

[QUOTE]Раздел реестра: 9
PUP.Optional.InstallCore, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\InstallCore, Проигнорировано пользователем, [501], [239563],1.0.16496
PUP.Optional.Babylon, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, Проигнорировано пользователем, [393], [235650],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}, Проигнорировано пользователем, [259], [382913],1.0.16496
PUP.Optional.ASK, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{201F27D4-3704-41D6-89C1-AA35E39143ED}, Проигнорировано пользователем, [281], [586062],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{8984B388-A5BB-4DF7-B274-77B879E179DB}, Проигнорировано пользователем, [259], [412167],1.0.16496
PUP.Optional.RussAd, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, Проигнорировано пользователем, [352], [435197],1.0.16496
PUP.Optional.ASK, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{201F27D4-3704-41D6-89C1-AA35E39143ED}, Проигнорировано пользователем, [281], [586062],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8984B388-A5BB-4DF7-B274-77B879E179DB}, Проигнорировано пользователем, [259], [412167],1.0.16496
PUP.Optional.RussAd, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, Проигнорировано пользователем, [352], [435197],1.0.16496

Значение реестра: 4
PUP.Optional.Babylon, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}|URL, Проигнорировано пользователем, [393], [235650],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}|URL, Проигнорировано пользователем, [259], [382913],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}|FAVICONURLFALLBACK, Проигнорировано пользователем, [259], [382913],1.0.16496
PUP.Optional.MailRu, HKU\S-1-5-21-1202660629-1659004503-839522115-1003.bak\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}|SUGGESTIONSURL, Проигнорировано пользователем, [259], [382913],1.0.16496
[/QUOTE]
08.06.2020, 20:54
vitalik0492

помещаю найденные угрозы в карантин, удаляю. Во-время следующей проверки (следом за первой) снова находятся вирусы типа pup.optional только в меньшем количестве. Далее количество вирусов растет ПК не возможно нормально пользоваться, приходится постоянно проверять Malwarebytes+удалять найденное.
В отчетах о проверке в разделе сводка "перемещено в карантин 0" а в разделе действие "перемещено в карантин" по отношению к каждому объекту
09.06.2020, 10:46
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
09.06.2020, 11:37
vitalik0492

Вложений: 2

FRST

Сделано
09.06.2020, 14:45
mike 1

У Вас от Mail.Ru установлены расширения в браузере, которые возможно восстанавливают записи в реестре, которые находит MBAM. В принципе это не вирусы, а ПНП.

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1202660629-1659004503-839522115-1003\...\MountPoints2: {1ac63890-5180-11e1-b18e-6c626df4086b} - F:\SHELL.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
C:\Documents and Settings\Пользователь.HOME\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\nonodemgnpfmmhbnkecpjjdkfmaifoni
2013-12-26 12:53 - 2013-12-26 12:53 - 000000006 _____ () C:\Documents and Settings\Пользователь.HOME\Application Data\smw_inst
2011-12-17 21:50 - 2011-12-22 17:20 - 000002208 _____ () C:\Documents and Settings\All Users\Application Data\cf
2016-02-13 15:29 - 2016-02-13 15:29 - 000000016 _____ () C:\Documents and Settings\All Users\Application Data\mntemp
2011-02-01 15:52 - 2011-02-01 15:52 - 000005017 _____ () C:\Documents and Settings\All Users\Application Data\ojobkspa.ako
2016-02-13 15:29 - 2016-02-13 15:29 - 000004136 _____ () C:\Documents and Settings\All Users\Application Data\oqztiqep.adk
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]Дата_время.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
09.06.2020, 17:11
vitalik0492

Вложений: 1

Сделано. Архива создано не было.
09.06.2020, 18:10
mike 1

Выполните скрипт еще раз, но текст скрипта сохраните в кодировке Юникод.
09.06.2020, 19:08
vitalik0492

Вложений: 1

Готово
09.06.2020, 23:53
mike 1

Теперь порядок
10.06.2020, 10:50
vitalik0492

Вы имеете ввиду "порядок" в плане применения скрипта сохраненного в юникоде, или вы считаете что моя проблема решена? Уточните пожалуйста, потому что проблема осталась.
11.06.2020, 20:41
mike 1

А проблема необязательно связана с вирусами. Активного заражения я не вижу.

[QUOTE]Platform: Microsoft Windows XP Professional Service Pack 3 (X86) Language: Русский
Internet Explorer Version 8 (Default browser: Chrome)
[/QUOTE]
Система не поддерживается уже более 6 лет. Может уже пора перейти на поддерживаемую ОС Windows?