следы zam antispyware driver 06466760.sys восстановился netfilter2 руткит
следы zam antispyware driver 06466760.sys восстановился netfilter2 руткит
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Новые логи Farbar Recovery Scan Tool сделайте.
WBR,
Vadim
за 90 дней дополнительно всё отметил
Не надо пытаться проверить систему всеми возможными антиdирусами, в т. ч. древним AVG, только проблем больше. Zemana тоже не сама собой вылезла, наверняка, с каким-то ещё антивирусом.Error: (03/15/2023 06:23:21 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Загрузка \SystemRoot\SysWow64\DRIVERS\AvgArCln.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера.
Это, скорее всего, с памятью проблемы. Убирайте разгон, если есть, проверяйте на ошибки.Error: (03/15/2023 06:23:31 PM) (Source: BugCheck) (EventID: 1001) (User: )
Description: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000001e (0xffffffffc0000005, 0xfffff8000389a21d, 0x0000000000000000, 0xffffffffffffffff). Дамп памяти сохранен в: C:\Windows\Minidump\031523-13728-01.dmp. Код отчета: 031523-13728-01
Выполняйте в безопасном режиме.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.Код:Start:: Task: {9A6E9940-8015-4D6E-AD5C-2F55974F93F9} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe /off=act (Нет файла) FF Plugin-x32: @jlgplayer3.julegame.com -> C:\Users\Tester\AppData\Local\JuleGame\jlgplayer\npjlgplayer3.dll [Нет файла] S1 AvgArCln; C:\Windows\SysWOW64\DRIVERS\AvgArCln.sys [3968 2007-01-18] (GRISOFT, s.r.o.) [Файл не подписан] R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.) S1 amsdk; \??\C:\Windows\system32\drivers\amsdk.sys [X] S1 epp; \??\C:\Program Files\Emsisoft Anti-Malware\epp.sys [X] S1 netfilter2; system32\drivers\netfilter2.sys [X] 2023-02-24 15:17 - 2023-02-24 15:18 - 017957880 _____ C:\Users\Tester\Downloads\adawarewebinstaller.exe 2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zamguard64.sys 2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zam64.sys 2023-02-13 14:14 - 2023-02-13 14:14 - 000000000 ____D C:\Users\Tester\Downloads\Loaris Trojan Remover 3.1.60 RePack (& Portable) by elchupacabra 2023-03-16 05:48 - 2021-02-20 11:59 - 000062753 _____ C:\Windows\ZAM.krnl.trace 2023-03-16 05:48 - 2021-02-20 11:59 - 000036547 _____ C:\Windows\ZAM_Guard.krnl.trace C:\Windows\SysWOW64\DRIVERS\AvgArCln.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06466760.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aswSP.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ZAM.exe" /service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06466760.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aswSP.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ZAM.exe" /service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zam64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zamguard64.sys => ""="Driver" FirewallRules: [TCP Query User{D6420BE7-0DF8-495D-A93D-3214D25B313F}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла FirewallRules: [UDP Query User{E43BE5D2-40A1-4045-B3C9-36D635B21567}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла FirewallRules: [{A21866E0-A2C0-4E9C-838F-FD11A48A60C7}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла FirewallRules: [{79CDBC4B-3E1C-4512-BB80-4CD9AEC10EB2}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла FirewallRules: [{ECBADED4-B2D1-455F-AF67-9D61DCF461DD}] => (Allow) C:\Users\Tester\AppData\Local\Programs\Opera\94.0.4606.54\opera.exe => Нет файла Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMoney\Удаление WebMoney Keeper Classic 3.9.9.0.lnk -> C:\Program Files\Uninstall.exe (Нет файла) Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\dzho_dzhirard_-_kak_prodat_chto_ugodno_komu_ugodn.LNK -> C:\Users\Tester\Downloads\dzho_dzhirard_-_kak_prodat_chto_ugodno_komu_ugodn.doc (Нет файла) Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\VARIANTY_REKLAMNYKh_POSTOV.doc.LNK -> C:\Users\Tester\Downloads\[openssource.biz] Сетевой ВКонтакте\[openssource.biz] Сетевой ВКонтакте\10 шаг - таргетированная реклама\VARIANTY_REKLAMNYKh_POSTOV.doc (Нет файла) Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\VARIANTY_REKLAMNYKh_POSTOV.LNK -> C:\Users\Tester\Downloads\[openssource.biz] Сетевой ВКонтакте\[openssource.biz] Сетевой ВКонтакте\10 шаг - таргетированная реклама\VARIANTY_REKLAMNYKh_POSTOV.doc (Нет файла) Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\Документ Microsoft Word.docx.LNK -> C:\Users\Tester\Desktop\Документ Microsoft Word.docx (Нет файла) Shortcut: C:\Users\Tester\AppData\Roaming\Microsoft\Office\Последние файлы\Нестеренко Артем – Сколько стоят ваши мозги. Или Безумные Принципы Нестера.LNK -> C:\Users\Tester\Downloads\1-nesterenko-mozgi\Нестеренко Артем – Сколько стоят ваши мозги. Или Безумные Принципы Нестера.doc (Нет файла) StartBatch: del /s /q C:\Windows\Minidump\*.dmp endbatch: Reboot: End::
Компьютер будет перезагружен автоматически.
Последний раз редактировалось Vvvyg; 16.03.2023 в 18:36.
WBR,
Vadim
plarium игра raid shadow legends тоже удалять я оставлю
Ок, убрал из фикса, выполняйте.
WBR,
Vadim
всё пофиксил
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
То, что рекомендовал сделать по логу SecurityCheck сделали? Если да - на этом всё.
WBR,
Vadim
всё удалил frst64.exe
Всё на этом тогда.
WBR,
Vadim
avast заканчивается лицензия 9 апреля что eset security ставить можно?
Официально Eset ушёл из РФ.
WBR,
Vadim
dotnetbrowser есть его удалить с папки roaming? может снова надо far recovery сново установить и проверить, может ещё malwarebytes проверить и логи выслать
Это не зловред, но программа не установлена, можно и зачистить, скорее всего.Сообщение от gredot
Не знаю, что это такое, если честно.
Можно, но вряд ли что-то серьёзное найдётся. Что на данный момент беспокоит?
WBR,
Vadim
farbar recovery scan tools julegame ещё в реестре запись есть удалить можно?
Не знаю. Зачем удалять?
WBR,
Vadim
руткит удалён тему можно закрыть спасибо помогли
Уважаемый(ая) gredot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
