Постоянно открывается странный txt файл с названием cl[3].net_cl_guid=d0op7w34tfqmqyi96rk2pf1rw1b4tspw&prid =1&pid=4_1400_252 в этом txt файле присутствуют ссылки на неизвестные мне сайты [по ссылкам не переходил]. Прошу помощи с решением данной проблемы! Прошу прощения если оформил тему неправильно!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) cfud, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Лог
- - - - -Добавлено - - - - -
ScreenShot.pngScreenS2hot.png
Открываются разные файлы, но с одинаковыми названиями
Выполните скрипт в AVZ
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\ubar\ubar.exe',''); QuarantineFile('C:\Users\Шурик\appdata\roaming\system\libs\svchost.exe',''); QuarantineFile('C:\PROGRA~3\ce5dd3af\e095edbe.dll',''); QuarantineFile('C:\Users\Шурик\AppData\Roaming\curl\curl_7_54.exe',''); QuarantineFile('C:\Users\Шурик\AppData\Roaming\curl\curl.exe',''); DeleteService('Nettrans'); DeleteService('MaskitService'); DeleteService('FirefoxDL'); DeleteFile('C:\Users\EE5D~1\AppData\Local\Temp\1\QQBrowser.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\curl','64'); DeleteFile('C:\Users\Шурик\AppData\Roaming\curl\curl.exe','32'); DeleteFile('C:\Users\Шурик\AppData\Roaming\curl\curl_7_54.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DeviceSettings\Grersk','64'); DeleteFile('C:\WINDOWS\system32\Tasks\{094B7C32-A6A4-7BB1-F019-287166F5524C}','64'); DeleteFile('C:\PROGRA~3\ce5dd3af\e095edbe.dll','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{DE2FF81B-EEFD-F628-4A63-7AC64576837D}','64'); DeleteFile('C:\Users\Шурик\appdata\roaming\system\libs\svchost.exe','32'); DeleteFile('C:\Program Files\ubar\ubar.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде новый лог
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отчёты
Расширение ScriptMonkey удалите в Хроме.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{B245D171-023A-44A2-8CAB-A4E8DBFA368A}: [NameServer] 82.163.143.176 82.163.142.178 HKLM\...\Winlogon: [Userinit] C:\Users\Шурик\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,userinit.exe, HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION HKU\S-1-5-21-506131757-1985010330-834511872-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4psgKIjh4XRwIvxieKxPPg4UiaCNDOuYRa5USLgUq5GumT5axiPkcyVhvkWwpfoQY2X9Xn7uV4ScU_QyNKiSJj_PpwlcLH8LwkMEWIKNVD-Yzhqkr-b-neCFDqDWJykTtnV88RK7l95MU6vepF8x5ondlj5g,,&q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4psgKIjh4XRwIvxieKxPPg4UiaCNDOuYRa5USLgUq5GumT5axiPkcyVhvkWwpfoQY2X9Xn7uV4ScU_QyNKiSJj_PpwlcLH8LwkMEWIKNVD-Yzhqkr-b-neCFDqDWJykTtnV88RK7l95MU6vepF8x5ondlj5g,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-506131757-1985010330-834511872-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4psgKIjh4XRwIvxieKxPPg4UiaCNDOuYRa5USLgUq5GumT5axiPkcyVhvkWwpfoQY2X9Xn7uV4ScU_QyNKiSJj_PpwlcLH8LwkMEWIKNVD-Yzhqkr-b-neCFDqDWJykTtnV88RK7l95MU6vepF8x5ondlj5g,,&q={searchTerms} BHO: No Name -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> No File BHO-x32: No Name -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> No File Toolbar: HKU\S-1-5-21-506131757-1985010330-834511872-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-506131757-1985010330-834511872-1001 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - No File FF Extension: (supermegabest) - C:\Users\Шурик\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-23] [Legacy] FF Extension: (AdBlocker for YouTube™) - C:\Users\Шурик\AppData\Roaming\Mozilla\Firefox\Profiles\tmej2ata.default-1484652196684\Extensions\[email protected] [2017-09-13] CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.mystarting123.com/search/index.php?z=bee251d124e81c24cac3debgez3tawdq4o3cew0gbg&q={searchTerms} CHR DefaultSearchKeyword: ChromeDefaultData -> mystarting123 CHR HKU\S-1-5-21-506131757-1985010330-834511872-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx S3 BIT; C:\windows\system32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 BIT; C:\windows\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 CSHMDR; C:\Windows\System32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 CSHMDR; C:\Windows\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 glory; C:\Windows\System32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 glory; C:\Windows\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 WinAppSvr; C:\WINDOWS\System32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL) S2 WinAppSvr; C:\WINDOWS\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL) S2 WinSAPSvc; C:\windows\system32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 backlh; C:\ProgramData\Logic Cramble\set.exe [X] <==== ATTENTION S2 RManService; "C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe" [X] S1 soivpzyx; \??\C:\WINDOWS\system32\drivers\soivpzyx.sys [X] S1 841f190e04205e62d6cf11535dc7f74e; \??\C:\WINDOWS\system32\drivers\841f190e04205e62d6cf11535dc7f74e.sys [X] 2018-07-01 18:58 - 2018-07-01 18:58 - 000000002 _____ C:\Users\Шурик\AppData\Local\WMI.ini 2014-11-20 22:36 - 2014-11-20 22:36 - 000059904 ____N (Microsoft Corporation) C:\Users\Шурик\mixyrdN.exe 2014-11-20 22:36 - 2014-11-20 22:36 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\OiOWwUho.exe 2017-05-09 12:22 - 2017-05-09 12:22 - 007290368 _____ () C:\Users\Шурик\AppData\Local\agent.dat 2017-05-09 12:22 - 2017-05-09 12:22 - 001894851 _____ () C:\Users\Шурик\AppData\Local\Cofcore.tst 2017-05-09 12:22 - 2017-05-09 12:22 - 000070800 _____ () C:\Users\Шурик\AppData\Local\Config.xml 2016-12-28 18:04 - 2016-12-28 18:05 - 000000315 _____ () C:\Users\Шурик\AppData\Local\expand.ini 2017-05-09 12:22 - 2017-05-09 12:22 - 000016176 _____ () C:\Users\Шурик\AppData\Local\InstallationConfiguration.xml 2017-05-09 12:22 - 2017-05-09 12:22 - 000140800 _____ () C:\Users\Шурик\AppData\Local\installer.dat 2017-05-09 12:22 - 2017-05-09 12:22 - 000005568 _____ () C:\Users\Шурик\AppData\Local\md.xml 2017-05-09 12:22 - 2017-05-09 12:22 - 000126464 _____ () C:\Users\Шурик\AppData\Local\noah.dat 2017-05-09 12:36 - 2017-05-09 17:10 - 000000120 _____ () C:\Users\Шурик\AppData\Local\TempGameCenter.main.download.log 2017-01-01 16:36 - 2016-11-23 16:37 - 000000570 _____ () C:\Users\Шурик\AppData\Local\TroubleshooterConfig.json 2017-05-06 14:10 - 2017-05-06 14:10 - 000000773 _____ () C:\Users\Шурик\AppData\Local\uBar.lnk 2017-05-09 12:23 - 2017-05-09 12:23 - 000032038 _____ () C:\Users\Шурик\AppData\Local\uninstall_temp.ico 2018-07-01 18:58 - 2018-07-01 18:58 - 000000002 _____ () C:\Users\Шурик\AppData\Local\WMI.ini ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ContextMenuHandlers1: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> No File ContextMenuHandlers2: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> No File ContextMenuHandlers6: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> No File Task: {13B6B3B5-58AF-4506-8E9A-5B448ED8B7A6} - \{094B7C32-A6A4-7BB1-F019-287166F5524C} -> No File <==== ATTENTION Task: {1BC2A42F-A55B-4693-B9E9-1061C76D5C62} - \curl -> No File <==== ATTENTION Task: {2BF4114D-5387-4BBE-B3FB-CECFC84BFD10} - \SearchGo Task -> No File <==== ATTENTION Task: {3680C94B-8954-4FA4-AC51-80D10D0E6745} - \Soft installer -> No File <==== ATTENTION Task: {62E0EAD3-6689-417B-A368-7A43EDC023BB} - \Command Translator Mgr -> No File <==== ATTENTION Task: {7770D5A7-4826-4CEA-98EE-71140B5BCA1F} - \{7F1D75E1-C8B6-C24A-0774-2F2C8BEACB2D} -> No File <==== ATTENTION Task: {85D90F18-CADD-4E05-BD3E-838D9EAD0617} - \Microsoft\Windows\DeviceSettings\Grersk -> No File <==== ATTENTION Task: {A331D80A-1812-46A3-B4A7-18BD6E7309EE} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION Task: {BA949D0D-37D5-4B84-905A-1921D6AA1EB5} - System32\Tasks\MailRuUpdater => C:\Users\Шурик\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-05-19] (Mail.Ru) <==== ATTENTION Task: {BE414DFD-69FE-41D3-973C-6E7980EED878} - \SearchAY2 -> No File <==== ATTENTION Task: {D24BE8FF-F7CD-4B95-8EA6-BB6378CF58F9} - \brandnewcoms -> No File <==== ATTENTION Task: {D84F2EF9-05E5-4CF3-AA02-806F69546DC8} - \SearchAY -> No File <==== ATTENTION Task: {E5195C36-266C-4F13-9598-F9DDBC182E85} - \{DE2FF81B-EEFD-F628-4A63-7AC64576837D} -> No File <==== ATTENTION HKLM\...\StartupApproved\Run: => "SysTrayApp" HKLM\...\StartupApproved\Run: => "gplyra" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "JQ1XP1YKE8WQNVE" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "CT4G6SM3URWN30P" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "8Q68RACO9093URU" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "DQ7BYURAXDWN0HC" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "A0T0MLO90IO4IIQ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "5MMVM1LEQI6TM8X" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "B85OUXVVVY43BGF" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "5U8I2QC2P65G4HJ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "U678C0LTSXAA3ZC" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "PAORPUM0WA9FOF6" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "774286" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "553468" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "25713" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "320734" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "868091" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "488952" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "105447" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "434900" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "LT43VGQMXV6PTV2" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "PXHPKLSUIDVFWNZ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "536275" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "335909" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "581036" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "9EJJSQBGS12112P" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "H1W32YSTWZ7VHY0" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "CUDXVYJD8DFCG1X" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "463736" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "352813" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "299944" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "PP9GC68W2JKBI81" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "120144" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "PJXBT5K7UYKKZ03" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "230684" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "KHADZFT5UNPOXRL" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "669729" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "VXIXBZ00TBWW6X3" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "802977" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "HX0IFVB2JDTUL5G" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "RMTXSS5EUGN5G53" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "62Z8Y1N5SSQSJWZ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "662388" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "255262" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "528662" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "510139" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "664094" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "338720" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "VSTBMXVX677HKPI" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "8ORVCRL0F2U3BAP" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "TZYM0EQQ6XQNV6P" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "312GR4SIS4KDH8R" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "266968" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "648353" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "148586" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "578020" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "416097" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "651596" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "829173" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "848297" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "TNI9ZGUDGNPIJAZ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "F3S8EAAM6KIE6JB" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "Z3HYKFT59AUVVBA" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "4KV6TY8W5LCKHPK" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "Y38QI79CB0QTVO8" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "Q7RZXLRIKIGG8SP" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "RJ7MN56HWRA7EQZ" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "D5H0YRHU5QO943M" HKU\S-1-5-21-506131757-1985010330-834511872-1001\...\StartupApproved\Run: => "CO3BUQYUULQHBOW" FirewallRules: [{4C7AE5F9-BD68-41A8-B6F0-EBD40375D41E}] => (Allow) C:\Users\Шурик\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{166141E8-5843-4DEE-81B9-8579D761B9CD}] => (Allow) C:\Users\Шурик\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{E983FE82-2FA5-4127-A8C3-72BEC4425BF0}] => (Allow) C:\Program Files (x86)\Common Files\OiOWwUho.exe FirewallRules: [{19F351CE-D2AA-4B19-BD83-6404ACBB0218}] => (Allow) C:\Users\Шурик\mixyrdN.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После вашего кода на компьютере интернет не работает подключение идёт, но появляется восклицательный знак в жёлтом треугольнике рядом со значком интернета или это из-за обновления которое произошло во время перезагрузки (оповещение об обновлении пришло 1-3 дней назад)
- - - - -Добавлено - - - - -
Пишу сейчас с телефона и кстати на компьютере гугл хром был просто недоконца удалившимся файлом т.к когда я его удалял через «Программы и компоненты» появилось уведомление что удаление уже было совершено, но перед эти написало что ошибка удаления
- - - - -Добавлено - - - - -
Наконец-то заработал интернет на компьютере вот ваш лог
У Вас были прописаны троянские адреса из Израиля. Отсюда и причина пропадания доступа в Интернет.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
"Что с проблемой?"
- Уже решена, я запустил восстановление по точке которую создал FRST.exe
"У Вас были прописаны троянские адреса из Израиля. Отсюда и причина пропадания доступа в Интернет."
- Они были удалены? И как они могли попасть ко мне в пк?
Восстановление по точке, которая была создана, это до последнего фикса. Самодеятельностью не занимайтесь, ибо троянские DNS Вам снова и будут прописаны
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Тогда что мне сделать чтобы после фикса начал работать интернет?
Заново прописать настройки от провайдера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Как? Да и тем более этот текстовый документ перестал запускаться
В настройках доступа в Интернет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\ubar\ubar.exe - not-a-virus:Downloader.Win64.UBar.a
- c:\users\шурик\appdata\roaming\system\libs\svchost .exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cls
Уважаемый(ая) cfud, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
