Поймал троян, взломали аккаунт гугл.

**Pokery** · 17.10.2021, 23:33

Вместе с одной из программ, скачанных из интернета, был маленький файл с кейгеном. Запустил, сразу сработал Comodo о блокировке программ. Скриншот приложил. Сразу пришло уведомление на телефон о взломе аккаунта. Я испугался и перезагрузил комп. Получилось то же самое, но стали ещё создаваться программы по пути c:\users\Aleksei\Appdata\roaming\случайные номера.exe, а так же по пути c:\Users\Aleksei\Pictures\Adobe Films\. Сейчас не могу подключить к компьютеру флешку.

Файл лога приложил. Помогите. Не знаю, что делать.Вложение 686031

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.10.2021, 23:34

Уважаемый(ая) Pokery, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

SQ · 18.10.2021, 02:29

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = 127.0.0.1
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TEMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\Aleksei\AppData\Local\Temp (folder missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: Timer - c:\windows\system\svchost.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\aleksei\appdata\roaming\4609808.exe');
 TerminateProcessByName('c:\users\aleksei\appdata\roaming\7976953.exe');
 TerminateProcessByName('c:\users\aleksei\appdata\roaming\8317042.exe');
 TerminateProcessByName('C:\Windows\system\svchost.exe');
 QuarantineFile('C:\Windows\system\svchost.exe','');
 QuarantineFile('C:\Users\Aleksei\AppData\Roaming\WinHost\WinHoster.exe','');
 QuarantineFile('c:\users\aleksei\pictures\adobe films\s90d_dkcfyf2rhwciljwrn0b.exe','');
 QuarantineFile('c:\users\aleksei\appdata\roaming\8317042.exe','');
 QuarantineFile('c:\users\aleksei\appdata\roaming\7976953.exe','');
 QuarantineFile('c:\users\aleksei\appdata\roaming\4609808.exe','');
 DeleteFile('c:\users\aleksei\appdata\roaming\4609808.exe','32');
 DeleteFile('c:\users\aleksei\appdata\roaming\7976953.exe','32');
 DeleteFile('c:\users\aleksei\appdata\roaming\8317042.exe','32');
 DeleteFile('c:\users\aleksei\pictures\adobe films\s90d_dkcfyf2rhwciljwrn0b.exe','32');
 DeleteFile('c:\windows\system\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinHost','x32');
 DeleteFile('C:\Users\Aleksei\AppData\Roaming\WinHost\WinHoster.exe','32');
 DeleteFile('C:\Users\Aleksei\AppData\Roaming\WinHost\WinHoster.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinHost','x64');
 DeleteFile('c:\windows\system\svchost.exe','64');
 DeleteSchedulerTask('Timer');
 DeleteFile('C:\Windows\system\svchost.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

**Pokery** · 18.10.2021, 09:13

По карантину. Пишет, что ошибка, данный файл уже был загружен. Сам архив размером 22 байта и без пароля.

Лог ADW Cleaner приложил.

Если нужно, ещё дополню. Файлы, которые я указал по вышеуказанным путям, при каждом перезапуске компьютера генерятся случайным образом, поэтому их удаление в скрипте может и не помочь.
При сканировании утилитой AVZ пришлось выключать все службы COMODO, иначе он AVZ помещал в песочницу (окно программы с зелёной рамкой).
Вирус активируется только при включенном интернете. Если комодо включен, то он блокирует какие то файлы с длинным рандомным названием. Поэтому при запуске компьютера я отключаю интернет, а после загрузки включаю.
Вот ещё скрин из заблокированных приложений Comodo.
Вложение 686034

SQ · 18.10.2021, 12:44

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Pokery** · 18.10.2021, 13:39

Просканировал, документы приложил.

SQ · 19.10.2021, 01:13

Что из следующего вам известно?

Код:

S2 AppServicea; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceb; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicec; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiced; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicee; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicef; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceg; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceh; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicei; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicej; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicek; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicel; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicem; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicen; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicep; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
File: C:\Windows\system32\I24KER6I06.tmp
File: C:\Windows\System32\drivers\multikey.sys
File: C:\Users\Aleksei\Documents\LTqm_AyQ5BGU9tDJLDE0RGsu.exe
File: C:\Users\Aleksei\Documents\VMD7HFW_7pGo76jIKrWHTs2F.exe
File: C:\Users\Aleksei\Documents\oVH_pEWGpmkq_J53GfANJ4KU.exe
File: C:\Windows\system32\Drivers\Gu2hYtG6cX.sys
File: C:\Windows\system32\Drivers\7YKQ2oV1j61.sys
Zip: C:\Windows\system32\I24KER6I06.tmp;C:\Windows\System32\drivers\multikey.sys
HKU\S-1-5-21-4167095678-1262080404-1002270468-1001\...\StartupApproved\Run: => "WinHost"
FirewallRules: [TCP Query User{1E4E70F5-FA7B-4B5A-B6CC-C883ABC1420B}E:\prog\allegorithmic\substance designer\substance designer.exe] => (Block) E:\prog\allegorithmic\substance designer\substance designer.exe => Нет файла
FirewallRules: [UDP Query User{08F9DD51-C4EF-447B-B84A-AD7E997F6A36}E:\prog\allegorithmic\substance designer\substance designer.exe] => (Block) E:\prog\allegorithmic\substance designer\substance designer.exe => Нет файла
FirewallRules: [TCP Query User{40C0D00E-B492-4592-8F80-ABA8FBC6EB1F}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.1-stable_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.1-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{54FABB7C-4AE5-407A-8223-B92DC28D6786}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.1-stable_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.1-stable_win64.exe => Нет файла
FirewallRules: [TCP Query User{7DE7AE33-2FD6-4543-8329-88B7EB88B190}C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-rc3_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-rc3_win64.exe => Нет файла
FirewallRules: [UDP Query User{06FB1C5D-E936-43B0-B9C1-C6203D40FC9B}C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-rc3_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-rc3_win64.exe => Нет файла
FirewallRules: [TCP Query User{4BF4E7DE-285F-4D38-8E4D-B4DE4251379C}C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-stable_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{D4143872-1015-4309-8567-E11A74407B7F}C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-stable_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot_rc_3.2.2\godot_v3.2.2-stable_win64.exe => Нет файла
FirewallRules: [TCP Query User{1666C1E1-3F0C-49B6-B90F-E38887457A0C}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-beta1_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-beta1_win64.exe => Нет файла
FirewallRules: [UDP Query User{C4D79E86-89AC-4F47-8D05-F6FDE39381B6}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-beta1_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-beta1_win64.exe => Нет файла
FirewallRules: [TCP Query User{F492E49E-366A-44BD-BA25-322B1D716C1B}E:\prog\kvirc\kvirc.exe] => (Allow) E:\prog\kvirc\kvirc.exe => Нет файла
FirewallRules: [UDP Query User{93660678-FE1D-4101-97D0-15E1B275A5B2}E:\prog\kvirc\kvirc.exe] => (Allow) E:\prog\kvirc\kvirc.exe => Нет файла
FirewallRules: [TCP Query User{F2807565-5CA4-451C-9682-F0BB332B7B7E}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-rc2_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-rc2_win64.exe => Нет файла
FirewallRules: [UDP Query User{F413AF67-1D1A-4A67-9D96-A39323F6C22A}C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-rc2_win64.exe] => (Allow) C:\users\aleksei\appdata\roaming\godot\godot_v3.2.3-rc2_win64.exe => Нет файла
FirewallRules: [TCP Query User{1430468B-975A-4643-9E4B-DC46C2D1DA0E}C:\godot\bin\godot.windows.opt.tools.64.exe] => (Allow) C:\godot\bin\godot.windows.opt.tools.64.exe => Нет файла
FirewallRules: [UDP Query User{50E9DF09-7DA9-4A67-BB21-291FBEC4D359}C:\godot\bin\godot.windows.opt.tools.64.exe] => (Allow) C:\godot\bin\godot.windows.opt.tools.64.exe => Нет файла
FirewallRules: [TCP Query User{50255B60-F9B6-4508-BAB4-C4EBA16F9B0D}C:\godot\godot_v3.2.3-rc3_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc3_win64.exe => Нет файла
FirewallRules: [UDP Query User{B2527C47-4D74-4B40-A33D-010667548D0E}C:\godot\godot_v3.2.3-rc3_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc3_win64.exe => Нет файла
FirewallRules: [TCP Query User{4E4DFB93-27E8-43D8-B86D-895C2A8A1F67}C:\godot\godot_v3.2.3-rc4_win64.exe] => (Block) C:\godot\godot_v3.2.3-rc4_win64.exe => Нет файла
FirewallRules: [UDP Query User{90ED61A6-E34D-4EE5-952E-B2A56D614DA1}C:\godot\godot_v3.2.3-rc4_win64.exe] => (Block) C:\godot\godot_v3.2.3-rc4_win64.exe => Нет файла
FirewallRules: [TCP Query User{4A246539-A75A-47F4-90A3-2BEC2ACDDA7B}C:\godot\godot_v3.2.3-rc5_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc5_win64.exe => Нет файла
FirewallRules: [UDP Query User{8CEBE759-2D6A-4D12-B296-0C1B5421FBAE}C:\godot\godot_v3.2.3-rc5_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc5_win64.exe => Нет файла
FirewallRules: [TCP Query User{8CA9CBE8-110C-4124-8E6E-016E77759710}D:\prog\emule0.50a\emule.exe] => (Allow) D:\prog\emule0.50a\emule.exe => Нет файла
FirewallRules: [UDP Query User{B533D697-72BA-4494-999B-44C60687E4B0}D:\prog\emule0.50a\emule.exe] => (Allow) D:\prog\emule0.50a\emule.exe => Нет файла
FirewallRules: [TCP Query User{00C7B89D-B0EF-476B-8C91-F1FF8B15A4E7}C:\godot\godot_v3.2.3-rc6_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc6_win64.exe => Нет файла
FirewallRules: [UDP Query User{8A091E05-8298-474E-8077-9636B204CD7F}C:\godot\godot_v3.2.3-rc6_win64.exe] => (Allow) C:\godot\godot_v3.2.3-rc6_win64.exe => Нет файла
FirewallRules: [TCP Query User{15B2564A-B388-459F-A778-A22A22B37CC5}C:\godot\godot_v3.2.3-stable_win64.exe] => (Allow) C:\godot\godot_v3.2.3-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{B5F84303-B4C8-4E23-9F27-B2C4EE796837}C:\godot\godot_v3.2.3-stable_win64.exe] => (Allow) C:\godot\godot_v3.2.3-stable_win64.exe => Нет файла
FirewallRules: [TCP Query User{CFCAB23D-7180-413E-94E9-8A5C4BCC4AA8}C:\godot\godot.exe] => (Allow) C:\godot\godot.exe => Нет файла
FirewallRules: [UDP Query User{A176F017-CE98-422F-96CB-29FCF39719C1}C:\godot\godot.exe] => (Allow) C:\godot\godot.exe => Нет файла
FirewallRules: [TCP Query User{D92C7325-D593-4ADE-89F5-56A0790DFEC2}C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe => Нет файла
FirewallRules: [UDP Query User{EF7EB82A-CF47-49FC-917B-D6DDA05C8F0E}C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe => Нет файла
FirewallRules: [TCP Query User{544F64BE-6AB0-4B49-B7DA-4DEE9EDDCFC7}C:\program files\aspire\x64\aspire.exe] => (Block) C:\program files\aspire\x64\aspire.exe => Нет файла
FirewallRules: [UDP Query User{51F55A7C-68DA-42C2-A2A7-80C2234B0D5D}C:\program files\aspire\x64\aspire.exe] => (Block) C:\program files\aspire\x64\aspire.exe => Нет файла
FirewallRules: [TCP Query User{5ABFA445-CF61-45A8-8196-DC1EFF22EBC3}C:\godot\godot_v3.2.4-beta1_win64.exe] => (Allow) C:\godot\godot_v3.2.4-beta1_win64.exe => Нет файла
FirewallRules: [UDP Query User{9C06E0E8-1795-476A-B2CB-CE5CA5A337C1}C:\godot\godot_v3.2.4-beta1_win64.exe] => (Allow) C:\godot\godot_v3.2.4-beta1_win64.exe => Нет файла
FirewallRules: [TCP Query User{05CC26BF-9735-4C3F-9F55-38BFA25DB38E}C:\games\borderlands 2\binaries\win32\borderlands2.exe] => (Block) C:\games\borderlands 2\binaries\win32\borderlands2.exe => Нет файла
FirewallRules: [UDP Query User{3121C14C-9DF5-405C-936D-1EC250D3BF03}C:\games\borderlands 2\binaries\win32\borderlands2.exe] => (Block) C:\games\borderlands 2\binaries\win32\borderlands2.exe => Нет файла
FirewallRules: [TCP Query User{06807996-C0CF-449B-88CA-AA18999D2677}C:\godot\godot_v3.2.4-beta2_win64.exe] => (Allow) C:\godot\godot_v3.2.4-beta2_win64.exe => Нет файла
FirewallRules: [UDP Query User{F4A93DE3-B155-4DAD-A2EC-2C6B216F5E60}C:\godot\godot_v3.2.4-beta2_win64.exe] => (Allow) C:\godot\godot_v3.2.4-beta2_win64.exe => Нет файла
FirewallRules: [{851DD4C4-F6FA-4072-85D0-11F5532DE7BC}] => (Block) C:\Program Files\Corel\CorelDRAW Graphics Suite 2020\Programs64\CorelDrw.exe (Corel Corporation -> Corel Corporation)
FirewallRules: [TCP Query User{9256EA81-A130-4B1B-ADFF-FECF0E4A0CEA}D:\programm\processing\processing-3.5.4\java\bin\java.exe] => (Allow) D:\programm\processing\processing-3.5.4\java\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{C9B132B5-DBC1-4264-9D2A-D9DDCA63FC40}D:\programm\processing\processing-3.5.4\java\bin\java.exe] => (Allow) D:\programm\processing\processing-3.5.4\java\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E9CBB2F2-2BCA-41DC-B55E-CFB2DFC8A88E}C:\program files (x86)\gmod by extr1m\garrysmod\hl2.exe] => (Allow) C:\program files (x86)\gmod by extr1m\garrysmod\hl2.exe => Нет файла
FirewallRules: [UDP Query User{CCCA9335-9520-4C7F-9F31-9C737A879B58}C:\program files (x86)\gmod by extr1m\garrysmod\hl2.exe] => (Allow) C:\program files (x86)\gmod by extr1m\garrysmod\hl2.exe => Нет файла
FirewallRules: [TCP Query User{7F401C4C-4BCB-48C4-9932-DAB5BC2AD1CD}D:\programm\lua\zbs\zbstudio.exe] => (Allow) D:\programm\lua\zbs\zbstudio.exe (ZeroBrane LLC -> )
FirewallRules: [UDP Query User{C36776A6-0712-4C75-8B61-269C1460DE1D}D:\programm\lua\zbs\zbstudio.exe] => (Allow) D:\programm\lua\zbs\zbstudio.exe (ZeroBrane LLC -> )
FirewallRules: [TCP Query User{999D890C-A50A-452D-9EF3-CD258C80B42C}D:\prog\pcb\easyeda\easyeda.exe] => (Allow) D:\prog\pcb\easyeda\easyeda.exe => Нет файла
FirewallRules: [UDP Query User{9AC40108-DE7B-4EFA-9726-41D153414F85}D:\prog\pcb\easyeda\easyeda.exe] => (Allow) D:\prog\pcb\easyeda\easyeda.exe => Нет файла
FirewallRules: [TCP Query User{95DA3C67-CC08-4D49-B10A-34C8B5634EC0}C:\program files (x86)\crytek\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe] => (Allow) C:\program files (x86)\crytek\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe => Нет файла
FirewallRules: [UDP Query User{7E612249-7A7A-4521-94D6-51C223F17B1D}C:\program files (x86)\crytek\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe] => (Allow) C:\program files (x86)\crytek\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe => Нет файла
FirewallRules: [TCP Query User{2AC28B5D-6244-49FC-ABE5-CFCA7F3F6FF6}C:\users\aleksei\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe] => (Allow) C:\users\aleksei\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe => Нет файла
FirewallRules: [UDP Query User{9197EF6E-8262-42EE-83DB-180B0228C0E1}C:\users\aleksei\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe] => (Allow) C:\users\aleksei\cryengine launcher\crytek\cryengine_5.6\bin\win_x64\sandbox.exe => Нет файла
FirewallRules: [TCP Query User{04B25189-2EFB-44E5-934B-7EBC6BC08A97}C:\users\aleksei\unigine sdk browser\bin\browser_x64.exe] => (Allow) C:\users\aleksei\unigine sdk browser\bin\browser_x64.exe => Нет файла
FirewallRules: [UDP Query User{A79EFA16-202D-434D-AC71-708BBD3268C5}C:\users\aleksei\unigine sdk browser\bin\browser_x64.exe] => (Allow) C:\users\aleksei\unigine sdk browser\bin\browser_x64.exe => Нет файла
FirewallRules: [TCP Query User{7DF569C6-469D-44D5-9C40-8D749733109F}D:\documents\unigine\testproject\bin\editor_x64.exe] => (Allow) D:\documents\unigine\testproject\bin\editor_x64.exe => Нет файла
FirewallRules: [UDP Query User{FB6702A1-35E5-4518-A5BE-0499E33ADB67}D:\documents\unigine\testproject\bin\editor_x64.exe] => (Allow) D:\documents\unigine\testproject\bin\editor_x64.exe => Нет файла
FirewallRules: [TCP Query User{DE8E2485-D71C-4686-BF9C-CB8700E12454}D:\documents\unigine\testproject\bin\testproject_x64.exe] => (Allow) D:\documents\unigine\testproject\bin\testproject_x64.exe => Нет файла
FirewallRules: [UDP Query User{C20DA0EB-7FE9-4EFB-B36D-A62DD555F157}D:\documents\unigine\testproject\bin\testproject_x64.exe] => (Allow) D:\documents\unigine\testproject\bin\testproject_x64.exe => Нет файла
FirewallRules: [TCP Query User{C2A0B228-95AC-44CC-904E-06EDB934B901}D:\documents\unigine\csharp_third_person_platformer\bin\editor_x64.exe] => (Block) D:\documents\unigine\csharp_third_person_platformer\bin\editor_x64.exe => Нет файла
FirewallRules: [UDP Query User{AA16BB5A-7BD5-430A-A72C-952B8A3E2E23}D:\documents\unigine\csharp_third_person_platformer\bin\editor_x64.exe] => (Block) D:\documents\unigine\csharp_third_person_platformer\bin\editor_x64.exe => Нет файла
FirewallRules: [TCP Query User{54990F04-E248-4892-A2C2-EA4E077F628D}C:\users\aleksei\unigine sdk browser\sdks\community_windows_2.13.0.1\bin\editor_x64.exe] => (Allow) C:\users\aleksei\unigine sdk browser\sdks\community_windows_2.13.0.1\bin\editor_x64.exe => Нет файла
FirewallRules: [UDP Query User{1D2D717D-6B75-40CD-B850-39D473569FAB}C:\users\aleksei\unigine sdk browser\sdks\community_windows_2.13.0.1\bin\editor_x64.exe] => (Allow) C:\users\aleksei\unigine sdk browser\sdks\community_windows_2.13.0.1\bin\editor_x64.exe => Нет файла
FirewallRules: [TCP Query User{153685EE-6247-4C6D-9016-A77988755D7E}D:\documents\unigine\livestream_session_3\bin\editor_x64.exe] => (Allow) D:\documents\unigine\livestream_session_3\bin\editor_x64.exe => Нет файла
FirewallRules: [UDP Query User{97548A8E-CE4A-474A-A6BB-0FF6333432F1}D:\documents\unigine\livestream_session_3\bin\editor_x64.exe] => (Allow) D:\documents\unigine\livestream_session_3\bin\editor_x64.exe => Нет файла
FirewallRules: [TCP Query User{850CE2D8-E36B-48EC-9629-A3C9FEB19A52}C:\program files\dotnet\dotnet.exe] => (Allow) C:\program files\dotnet\dotnet.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [UDP Query User{D4FA0E8D-1A1A-43C2-9DC5-D010DEF3EEE5}C:\program files\dotnet\dotnet.exe] => (Allow) C:\program files\dotnet\dotnet.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [TCP Query User{3AD9F5D0-8997-47E5-BC6D-C49366376165}D:\documents\unigine\unigine_project\bin\editor_x64.exe] => (Allow) D:\documents\unigine\unigine_project\bin\editor_x64.exe => Нет файла
FirewallRules: [UDP Query User{EEA362D6-F24A-4CAE-9F4C-F81A8DE19184}D:\documents\unigine\unigine_project\bin\editor_x64.exe] => (Allow) D:\documents\unigine\unigine_project\bin\editor_x64.exe => Нет файла
FirewallRules: [TCP Query User{D044B8A0-461C-46C0-BCEF-C68465287CBA}C:\godot\godot_v3.2.4-rc1_win64.exe] => (Allow) C:\godot\godot_v3.2.4-rc1_win64.exe => Нет файла
FirewallRules: [UDP Query User{7F2F2209-6E61-4B2F-A75D-80A72CF41E7F}C:\godot\godot_v3.2.4-rc1_win64.exe] => (Allow) C:\godot\godot_v3.2.4-rc1_win64.exe => Нет файла
FirewallRules: [TCP Query User{93129B36-6C08-4D35-82FF-B903BC2C92F7}C:\games\naissancee\binaries\win32\udk.exe] => (Block) C:\games\naissancee\binaries\win32\udk.exe => Нет файла
FirewallRules: [UDP Query User{04E5AB77-FBCA-4B45-8156-ED0714BAE864}C:\games\naissancee\binaries\win32\udk.exe] => (Block) C:\games\naissancee\binaries\win32\udk.exe => Нет файла
FirewallRules: [TCP Query User{6E62B59C-E38E-4364-87A1-233508C366D6}C:\godot\godot_v3.2.4-rc3_win64.exe] => (Allow) C:\godot\godot_v3.2.4-rc3_win64.exe => Нет файла
FirewallRules: [UDP Query User{37FA87DA-2631-4EF2-A9E6-4B206412B9B2}C:\godot\godot_v3.2.4-rc3_win64.exe] => (Allow) C:\godot\godot_v3.2.4-rc3_win64.exe => Нет файла
FirewallRules: [TCP Query User{079CCDBB-4C40-48BA-8901-559453CA3A39}C:\godot\godot_v3.3-rc8_win64.exe] => (Block) C:\godot\godot_v3.3-rc8_win64.exe => Нет файла
FirewallRules: [UDP Query User{0EEDEF07-65AB-4FCB-A201-5C9B3932861D}C:\godot\godot_v3.3-rc8_win64.exe] => (Block) C:\godot\godot_v3.3-rc8_win64.exe => Нет файла
FirewallRules: [TCP Query User{4F8DAE8A-B16A-4D19-9D11-2F7BAF5CAA3B}C:\godot\godot_v3.3-rc9_win64.exe] => (Block) C:\godot\godot_v3.3-rc9_win64.exe => Нет файла
FirewallRules: [UDP Query User{2BB71BD9-925C-482D-9C83-A0D925058FE8}C:\godot\godot_v3.3-rc9_win64.exe] => (Block) C:\godot\godot_v3.3-rc9_win64.exe => Нет файла
FirewallRules: [TCP Query User{77C819F0-1F6B-407D-B8F7-25342A4AB664}C:\godot\godot_v3.3-stable_win64.exe] => (Block) C:\godot\godot_v3.3-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{DA315A9D-8D75-489B-9ED7-D0757D28949D}C:\godot\godot_v3.3-stable_win64.exe] => (Block) C:\godot\godot_v3.3-stable_win64.exe => Нет файла
FirewallRules: [TCP Query User{2953C6F4-0779-407D-8E4B-9EFBFCB287FC}C:\games\wolfenstein - the new order\wolfneworder_x64.exe] => (Block) C:\games\wolfenstein - the new order\wolfneworder_x64.exe => Нет файла
FirewallRules: [UDP Query User{194C169A-297F-40B4-AA07-FEC4BD1EB288}C:\games\wolfenstein - the new order\wolfneworder_x64.exe] => (Block) C:\games\wolfenstein - the new order\wolfneworder_x64.exe => Нет файла
FirewallRules: [TCP Query User{856038D3-D3A5-40F6-9BEB-A801010AB89B}C:\godot\godot_v3.3.2-stable_win64.exe] => (Block) C:\godot\godot_v3.3.2-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{A39C10C1-563A-49EE-8FF1-259FD5107355}C:\godot\godot_v3.3.2-stable_win64.exe] => (Block) C:\godot\godot_v3.3.2-stable_win64.exe => Нет файла
FirewallRules: [{A353A538-B972-4165-90CF-AF2D0774F303}] => (Allow) e:\prog\opera\76.0.4017.154\opera.exe => Нет файла
FirewallRules: [{EBA1765F-F1C4-4049-A6F3-BEC30E7C61DF}] => (Allow) e:\prog\opera\77.0.4054.146\opera.exe => Нет файла
FirewallRules: [{3241C8E6-C5DE-442B-8886-4DCDA5EB8AEB}] => (Allow) C:\Program Files\Common Files\Siemens\sws\almsrv\almsrv64x.exe => Нет файла
FirewallRules: [{E29B14EC-8A9E-49E3-B80A-C7AE12ABB886}] => (Allow) e:\prog\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{22CC563E-AAEF-4F85-A5C4-D563FE81D0E9}C:\program files\jetbrains\pycharm community edition 2021.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2021.2\bin\pycharm64.exe => Нет файла
FirewallRules: [UDP Query User{64F973DE-84C4-4020-B362-393AEFA61317}C:\program files\jetbrains\pycharm community edition 2021.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2021.2\bin\pycharm64.exe => Нет файла
FirewallRules: [TCP Query User{5DFB7F2B-188E-4262-8571-0E85D96D2135}C:\games\everybodys gone to the rapture\bin64\rapture_release.exe] => (Block) C:\games\everybodys gone to the rapture\bin64\rapture_release.exe => Нет файла
FirewallRules: [UDP Query User{F22354A9-4CD1-4DFF-A01C-F62E41F41135}C:\games\everybodys gone to the rapture\bin64\rapture_release.exe] => (Block) C:\games\everybodys gone to the rapture\bin64\rapture_release.exe => Нет файла
FirewallRules: [TCP Query User{D989D4A3-B235-4684-B703-51E401BB4158}C:\users\aleksei\godot\godot_v3.4-beta3_win64.exe] => (Allow) C:\users\aleksei\godot\godot_v3.4-beta3_win64.exe => Нет файла
FirewallRules: [UDP Query User{C0549769-F27E-4E57-89FE-3DD19D9BAC1C}C:\users\aleksei\godot\godot_v3.4-beta3_win64.exe] => (Allow) C:\users\aleksei\godot\godot_v3.4-beta3_win64.exe => Нет файла
FirewallRules: [TCP Query User{55835B4C-E431-40F0-BA8A-2CF9B5C2D507}C:\users\aleksei\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\aleksei\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{00D57812-B640-47C4-8EC1-916DB539F9BC}C:\users\aleksei\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\aleksei\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{7E8F15FE-B14E-4063-8ACE-1F8D0C19193D}C:\program files\java\jre1.8.0_51\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_51\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{CF9C14F1-715B-44C7-9696-7D1714130774}C:\program files\java\jre1.8.0_51\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_51\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{112EDF95-07C2-4BFF-9EC4-DA2664BC7F74}C:\games\minecraft 1.12\runtime\x64\bin\javaw.exe] => (Allow) C:\games\minecraft 1.12\runtime\x64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{5F4BE7C4-3015-41B1-AE44-94E9E95B868F}C:\games\minecraft 1.12\runtime\x64\bin\javaw.exe] => (Allow) C:\games\minecraft 1.12\runtime\x64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{D6861C4F-D10B-4387-9393-DA765F45F3A2}C:\games\the stanley parable\stanley.exe] => (Block) C:\games\the stanley parable\stanley.exe => Нет файла
FirewallRules: [UDP Query User{0BFD328B-482E-4D64-BC07-A3072FC029D3}C:\games\the stanley parable\stanley.exe] => (Block) C:\games\the stanley parable\stanley.exe => Нет файла
FirewallRules: [TCP Query User{370D1DE7-0B12-4F06-9DFA-9E1846272EEC}C:\games\far cry 4\bin\farcry4.exe] => (Block) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [UDP Query User{05FC1DAA-D15E-4BA2-B74A-D738BC5F6ABB}C:\games\far cry 4\bin\farcry4.exe] => (Block) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [TCP Query User{BCEB5579-914C-4CC2-A1C0-0670ADEB4921}C:\users\aleksei\godot\godot_v3.4-beta4_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.4-beta4_win64.exe => Нет файла
FirewallRules: [UDP Query User{70FBC7E1-DB92-4701-B76F-0A42087C868E}C:\users\aleksei\godot\godot_v3.4-beta4_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.4-beta4_win64.exe => Нет файла
FirewallRules: [TCP Query User{7BF7B3A5-9CF8-4BA3-8C33-3DAE75382840}C:\program files\allegorithmic\substance painter\substance painter.exe] => (Block) C:\program files\allegorithmic\substance painter\substance painter.exe => Нет файла
FirewallRules: [UDP Query User{63933EFA-FF9F-45FA-82D2-97FDBDE4CF9C}C:\program files\allegorithmic\substance painter\substance painter.exe] => (Block) C:\program files\allegorithmic\substance painter\substance painter.exe => Нет файла
FirewallRules: [TCP Query User{099FBF67-1170-415D-882B-561E09C87D7B}C:\users\aleksei\godot\godot_v3.4-beta5_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.4-beta5_win64.exe => Нет файла
FirewallRules: [UDP Query User{ED190C66-8FAA-4967-9A28-D5283EA48F79}C:\users\aleksei\godot\godot_v3.4-beta5_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.4-beta5_win64.exe => Нет файла
FirewallRules: [TCP Query User{75283F3C-F8FD-4416-A22D-0743B5D54514}C:\users\aleksei\godot\godot_v3.3.3-stable_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.3.3-stable_win64.exe => Нет файла
FirewallRules: [UDP Query User{AE1816DE-5DD3-48EF-A13A-B925C92DD82A}C:\users\aleksei\godot\godot_v3.3.3-stable_win64.exe] => (Block) C:\users\aleksei\godot\godot_v3.3.3-stable_win64.exe => Нет файла
FirewallRules: [TCP Query User{5C2B7BAB-64DA-419F-A05A-CDA5CE8FA678}C:\program files\allegorithmic\substance designer\substance designer.exe] => (Block) C:\program files\allegorithmic\substance designer\substance designer.exe => Нет файла
FirewallRules: [UDP Query User{BC00A56F-51D7-44A0-9280-132E2009E562}C:\program files\allegorithmic\substance designer\substance designer.exe] => (Block) C:\program files\allegorithmic\substance designer\substance designer.exe => Нет файла
FirewallRules: [{111608E6-0257-4E38-BBD4-C310248842E6}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{17CEC52B-0190-4118-80A1-FCD026677ECD}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{1D35EC29-C7E4-48E5-84EF-5940DB714036}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{A719D412-F825-4924-8DB2-CB167057204C}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{8E708DC6-63AD-487F-9CC4-5B4E5B59FBDE}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{76C826A3-3C6A-40AF-8462-4164AE09C21C}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{F618E171-2E8D-44D6-8E9C-FE43DD7B5B64}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{A4745698-A1DA-4FF0-B6E0-C8C7435AABA4}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{1D5BD009-6D50-43ED-9CF4-81799FCE2B3C}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
FirewallRules: [{D6978E55-A4B2-410E-8C8C-201BC91AD0A6}] => (Allow) C:\Windows\System\svchost.exe => Нет файла
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Pokery** · 19.10.2021, 11:03

Карантин загрузил.

1. Не понял вопроса, про что именно мне известно. Если из первого кода, то ничего, там какие то темп файлы, которые первый раз вижу.
2. Если из второго кода, то всё знакомо, правда большинство - это бывшие программы, которые я когда то удалил.
3. Не проще ли будет (с моей стороны) переустановить виндовс? Или это в данном случае бесполезно? Я смотрю на другие диски тоже что-то попало.
4. Если будет нужно, могу прислать сам файл, из-за которого всё это произошло.
5. Файл c:\windows\system\svchost.exe блокируется самим Comodo, поэтому он не находится программами сканирования.

SQ · 20.10.2021, 00:50

Сообщение от SQ

Программа создаст лог-файл (Fixlog.txt). .

Приложите пожалуйста файл лога Fixlog.txt.

**Pokery** · 20.10.2021, 09:51

Файл приложил.

SQ · 21.10.2021, 12:37

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
S2 AppServicea; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceb; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicec; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiced; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicee; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicef; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceg; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServiceh; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicei; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicej; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicek; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicel; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicem; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicen; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
S2 AppServicep; C:\Windows\system32\I24KER6I06.tmp [6144 2021-10-18] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
2021-10-17 23:52 - 2021-10-17 23:52 - 000412160 _____ (EMUI) C:\Users\Aleksei\Documents\LTqm_AyQ5BGU9tDJLDE0RGsu.exe
2021-10-17 23:38 - 2021-10-17 23:38 - 000412160 _____ (EMUI) C:\Users\Aleksei\Documents\VMD7HFW_7pGo76jIKrWHTs2F.exe
2021-10-17 23:37 - 2021-10-18 09:43 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\I24KER6I06.tmp
2021-10-17 21:56 - 2021-10-17 21:56 - 000412160 _____ (EMUI) C:\Users\Aleksei\Documents\oVH_pEWGpmkq_J53GfANJ4KU.exe
2021-10-17 21:01 - 2021-10-17 21:01 - 002674752 ____N C:\Windows\system32\Drivers\Gu2hYtG6cX.sys
2021-10-17 21:01 - 2021-10-17 21:01 - 002674752 ____N C:\Windows\system32\Drivers\7YKQ2oV1j61.sys
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

**Pokery** · 21.10.2021, 13:46

Файл лога приложил.

SQ · 22.10.2021, 03:08

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Pokery** · 22.10.2021, 08:51

Файл приложил.

SQ · 23.10.2021, 01:58

В логе замечен тольско подозрительный драйвер:

Код:

C:\Windows\System32\DRIVERS\MULTIKEY.SYS

Знаком ли он вам? Используете ли Virtual USB MultiKey64 ?

**Pokery** · 23.10.2021, 19:07

Сообщение от SQ

В логе замечен тольско подозрительный драйвер:

Код:

C:\Windows\System32\DRIVERS\MULTIKEY.SYS

Знаком ли он вам? Используете ли Virtual USB MultiKey64 ?

Да, знаком. Как раз используется как виртуальный USB ключ. В принципе, можно удалить, я заново сделаю, если понадобится.

SQ · 23.10.2021, 23:00

Сообщение от Pokery

Да, знаком. Как раз используется как виртуальный USB ключ. В принципе, можно удалить, я заново сделаю, если понадобится.

Это необязательно, возможно у сторонних антивирусов имеется ложное срабатывание. Но у этого файла вроде есть цифровая подпись.

Сообщите, что с проблемой?

**Pokery** · 24.10.2021, 09:59

Сообщение от SQ

Сообщите, что с проблемой?

Компьютер загружается, Comodo молчит, папки, которые появлялись в самом начале, не создаются, в папке драйверов виндовс тоже чисто, что то другое - не знаю, на что обращать внимание.

Спасибо огромное за помощь!!!

У меня единственный вопрос: в карантине Comodo полно заразы, которую он блокировал на начальном этапе всего этого безобразия. Что с карантином делать? Может очистить на всякий случай? Или оставить всё как есть?

SQ · 24.10.2021, 16:56

Да можете очистить карантин.

Проделайте завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Pokery** · 25.10.2021, 09:49

Лог загрузил.

Поймал троян, взломали аккаунт гугл. (заявка № 227255)

Опции темы