1) Не открывал этот сайт и не знаю это приложение
https://postimg.cc/r02StybY
Полную проверку сделать пока не было время
2) Словил 2 BSOD
1) Не открывал этот сайт и не знаю это приложение
https://postimg.cc/r02StybY
Полную проверку сделать пока не было время
2) Словил 2 BSOD
Уважаемый(ая) PCUser, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
![]()
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Похоже, Dr. Web справился.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:O4 - MSConfig\startupreg: tvncontrol [command] = D:\TightVNC\tvnserver.exe -controlservice -slave (HKLM) (2019/09/12) (file missing)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Только что DrWeb обезвредил
"Объект";"Угроза";"Действие";"Путь";
"adl.exe";"DPH:Trojan.ExecExploit";"Перемещено";"C :\Windows\adl.exe";
Чуть раньше (10:42) это же файл был помещен Drweb в карантин
Логи:
Пока писал сообщение заблокирована попытка выполнения подозрительного кода
процессом c:\Windows\System32\cmd.exe
PID 4572 и 4444
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] S4 AviraProtect3; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S4 AviraProtect3; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 AmmyyAdmin_EC0; "D:\AA_v35\AA_v3.exe" -service -lunch [X] S3 46e2183c695fc091; \??\C:\Windows\TEMP\2ce24f2.sys [X] S3 46e28b6e6ebde6f2; \??\C:\Windows\TEMP\26ef2cc.sys [X] S3 46e29ea2afb3fc72; \??\C:\Windows\TEMP\28cedf5.sys [X] S3 46e2b7f563ff7cf2; \??\C:\Windows\TEMP\26e84ab.sys [X] S3 f3179ac904558e2c; \??\C:\Windows\TEMP\216a65a.sys [X] 023-04-25 20:46 - 2017-05-06 16:42 - 851661349 _____ C:\Windows\MEMORY.DMP CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.101\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA919489-0396-4164-A6E7-94CDED45A707}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.51\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll (Google LLC -> Google LLC) CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Нет файла ContextMenuHandlers4: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла ContextMenuHandlers5: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:DocumentSummaryInformation [63] AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:SummaryInformation [63] AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q C:\Windows\Temp\*.* del /s /q "%userprofile%\AppData\Local\temp\*.*" del /s /q C:\Windows\Minidump\*.dmp ipconfig /flushdns sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Еще один Crash
Скрытый текст
Version=1
EventType=BlueScreen
EventTime=133269746518428182
ReportType=4
Consent=1
ReportIdentifier=1900a212-e414-11ed-8102-ef41e634fdb5
IntegratorReportIdentifier=042623-6739-01
Response.type=4
DynamicSig[1].Name=Версия ОС
DynamicSig[1].Value=6.1.7601.2.1.0.256.48
DynamicSig[2].Name=Код языка
DynamicSig[2].Value=1049
UI[2]=C:\Windows\system32\wer.dll
UI[3]=Windows восстановлена после непредвиденного завершения работы
UI[4]=При следующем подключении к Интернету Windows может провести поиск способа устранения этой ошибки.
UI[5]=Выполнить &поиск решений
UI[6]=Отло&жить поиск решений
UI[7]=Отмена
UI[8]=Windows восстановлена после непредвиденного завершения работы
UI[9]=Из-за неполадки Windows работает неправильно. Windows сообщит вам, если будет найден способ устранения этой ошибки.
UI[10]=Закрыть
Sec[0].Key=BCCode
Sec[0].Value=50
Sec[1].Key=BCP1
Sec[1].Value=FFFFFA800C633000
Sec[2].Key=BCP2
Sec[2].Value=0000000000000001
Sec[3].Key=BCP3
Sec[3].Value=FFFFF8800869B585
Sec[4].Key=BCP4
Sec[4].Value=0000000000000000
Sec[5].Key=OS Version
Sec[5].Value=6_1_7601
Sec[6].Key=Service Pack
Sec[6].Value=1_0
Sec[7].Key=Product
Sec[7].Value=256_1
File[0].CabName=042623-6739-01.dmp
File[0].Path=042623-6739-01.dmp
File[0].Flags=589826
File[0].Type=2
File[0].Original.Path=C:\Windows\Minidump\042623-6739-01.dmp
File[1].CabName=sysdata.xml
File[1].Path=WER-8689-0.sysdata.xml
File[1].Flags=589826
File[1].Type=5
File[1].Original.Path=C:\Users\Dmitriy\AppData\Local\Temp\WER-8689-0.sysdata.xml
File[2].CabName=Report.cab
File[2].Path=Report.cab
File[2].Flags=196608
File[2].Type=7
File[2].Original.Path=Report.cab
FriendlyEventName=Непредвиденное завершение работы
ConsentKey=BlueScreen
AppName=Windows
AppPath=C:\Windows\System32\WerFault.exe
Скрыть
Drweb
Сейчас получил
"Объект";"Угроза";"Действие";"Путь";
"mssecsvc.exe";"Trojan.Encoder.11432";"Перемещено" ;"C:\Windows\mssecsvc.exe";
Fixlog.txt больше чем 483Кб: https://disk.yandex.ru/d/oJhvpVFNqyV9XQ
Систему долбят через уязвимости, которые закрыты MS ещё 6 лет назад, когда были массовые атаки шифровальщика WannaCry:Устанавливайте в первую очередь KB4012212 по ссылке, закроет именно эту дыру. Затем ]систему крайне желательно обновить по полной, через автоматическое обновление, или проще и быстрее - с помощью Windows 7 Update Pack by DrWindows. Если система, как в вашем случае, не обновлялась давно, могут быть проблемы при и после установки патчей, так что, хотя бы из списка установите, самые критичные.------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Проверьте сеть утилитой ETERNAL BLUES, все найденные компьютеры с уязвимостью также надо обновлять.
Кстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.
Ну, и по мелочам (относительно главной проблемы):
Брандмауэр Windows (MpsSvc) - Служба остановлена
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-20_windows-x64_bin.exe).
Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Google Chrome v.96.0.4664.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Mozilla Firefox 56.0 (x64 ru) v.56.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
WBR,
Vadim
Пока KB4012212 установил. Ждем развития
Других ПК в сети нет
Как закрыть? Не помню чтобы сам менял стандартные настройки роутераКстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.
На роутере раздавал интернет на ПК, wi-Fi и android приставку
Пока новых крашей и вирусов не было. Тему можно закрывать.
Спасибо!
В завершение: переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Уважаемый(ая) PCUser, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.