Добрый день, проблема следующая. Человек скачал какой-то .exe файл, установился с десяток разных программ. Постоянные всплывающие окна, открывается ИЕ с разными реферальными ссылками, в диспетчере много непонятных .exe файлов. Прошу Вашей помощи в данном вопросе
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) stytche, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}'); StopService('71e14eb66e92df602a4d04116259c9a6'); StopService('SvcHost Service Host'); StopService('WinDefender'); StopService('icacl'); TerminateProcessByName('C:\ProgramData\b1cec899715a40009ade88195260d62f\yVEBLWSiJGa.exe'); TerminateProcessByName('C:\Users\Александр\AppData\Local\Temp\2a577cf90e3a4d8aa8c770b4de31b375\ZHMPbqEv.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); TerminateProcessByName('c:\users\8523~1\appdata\roaming\setupsk\python\pythonw.exe'); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); DeleteService('SvcHost Service Host'); DeleteService('WinDefender'); DeleteService('icacl'); QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE',''); QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\3cQOz6E.dll',''); QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kEV8xPB.dll',''); QuarantineFile('C:\Program Files (x86)\thzXuJvjU\E8dYN1d.dll',''); QuarantineFile('C:\Program Files\Common Files\FV7ZO9ID\dcI6Pu9ip.exe',''); QuarantineFile('C:\Program Files\Novo\novoopt.exe',''); QuarantineFile('C:\Program Files\Novo\npsvc.exe',''); QuarantineFile('C:\Program Files\Windows Journal\8Z6IFBTFB95Y49UGHQ42J\qrNNRzxEri.exe',''); QuarantineFile('C:\ProgramData\b1cec899715a40009ade88195260d62f\yVEBLWSiJGa.exe',''); QuarantineFile('C:\ProgramData\e6da7161ec8044e1b20e7bd3962b3b93\j8HQ5IogSFp.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\3b60cb8adf68401d8c2c0e2e9a5e989c\4phIGNDOnj757D.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\406e99fe02604493829f1d9bccd8634e\4Mr9Sa5wdU2YA.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\2a577cf90e3a4d8aa8c770b4de31b375\ZHMPbqEv.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\3249b95708d84622a6dcb8d541adcdcb\bfCtUuXQ.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\46ad0451724a4bab97646622acb533bb\EeI64WXUAN.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\4a63300f549a466a9e4f3c9ad3cdcd52\vEQ9qoin.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\4ab10f3f9d7444f78b746dc1e0330057\V8oXsdk.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\4bab0920df0c4d2f96ef109789bc3d49\Xyzz9uRHdWO.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\539a4e218da546a4ab397a34f98198c3\1vnFfU87.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\6b9f9c484cf047d4ac85b4a583931f93\FWapRlD.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\8dbd7f26225346d08f1b083255d2338e\V6cW9na.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\942b321edcd5429c95a0383b679911ce\wldjfsmkyuuGB.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\a936d70023e442189d883a13419faa71\UZc7PziMCDvup.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\b757a1a53a5544c989f4d62ba25988e6\L3KqZhC9.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\d31ba9cbc6d44c13a0c342083696e61f\QWpPtuWQD.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\d35a5a3db1954a7fba9d05db288db9a2\g3EDVlZUJZLc1.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Temp\f9a659fd0e5448b6848303ba9c5f7b20\93bQdRcV.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\c99bf4a303b84f18a74b813894cff5ca\GYqldfL5vHuQg.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\20c737ecd717465dbb14cea14115f6fa\uKUHuToxE6.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\7f9ae6a3f27146389b662d5612140065\LmbRZLlSzR.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Event Monitor\em.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Event Monitor\isxdl.dll',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\SIVApp\SIVApp.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\aswast\ml.py',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\aswast\python\pythonw.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\d8de72ce3c2e4e47a380c174969dcf8c\69XuaAXVcJ7DC.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\f156e196839e4e7ba17711337c9127d0\h7TitKlCkr.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\gplyra\gplyra.exe',''); QuarantineFile('C:\Users\Александр\appdata\local\temp\b.exe',''); QuarantineFile('C:\Users\Александр\appdata\roaming\sivapp\sivapp.exe',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\SETUPS~1\ml.py',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\SETUPS~1\python\pythonw.exe',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\curl\curl.exe',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\curl\curl_7_54.exe',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\setupsk\ml.py',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\python34.dll',''); QuarantineFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\pythonw.exe',''); QuarantineFile('C:\Windows\Microsoft\svchost.exe',''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe',''); QuarantineFile('C:\Windows\System32\icacl.exe',''); QuarantineFile('C:\Windows\Temp\g3FFC.tmp.exe',''); QuarantineFile('C:\Windows\Temp\g4B70.tmp.exe',''); QuarantineFile('C:\Windows\system32\drivers\eb710bbee7a1753b67b306c392b1c437.sys',''); QuarantineFile('C:\Windows\system32\icacl.exe',''); QuarantineFile('c:\program files (x86)\qyerbvxrhie\ftfuirnlso.exe',''); QuarantineFile('c:\program files\71e14eb66e92df602a4d04116259c9a6\8231a556bf8cda9261345bb8b2d8d0b0.exe',''); QuarantineFile('c:\users\Александр\appdata\roaming\event monitor\em.exe',''); QuarantineFile('c:\users\Александр\appdata\roaming\frostythunder\cloudnet.exe',''); QuarantineFile('c:\windows\microsoft\svchost.exe',''); QuarantineFile('c:\windows\windefender.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk',''); DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32'); DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\3cQOz6E.dll','32'); DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kEV8xPB.dll','32'); DeleteFile('C:\Program Files (x86)\thzXuJvjU\E8dYN1d.dll','32'); DeleteFile('C:\Program Files\71e14eb66e92df602a4d04116259c9a6\8231a556bf8cda9261345bb8b2d8d0b0.exe','32'); DeleteFile('C:\Program Files\Common Files\FV7ZO9ID\dcI6Pu9ip.exe','32'); DeleteFile('C:\Program Files\Windows Journal\8Z6IFBTFB95Y49UGHQ42J\qrNNRzxEri.exe','32'); DeleteFile('C:\ProgramData\b1cec899715a40009ade88195260d62f\yVEBLWSiJGa.exe','32'); DeleteFile('C:\ProgramData\e6da7161ec8044e1b20e7bd3962b3b93\j8HQ5IogSFp.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\3b60cb8adf68401d8c2c0e2e9a5e989c\4phIGNDOnj757D.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\406e99fe02604493829f1d9bccd8634e\4Mr9Sa5wdU2YA.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\2a577cf90e3a4d8aa8c770b4de31b375\ZHMPbqEv.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\3249b95708d84622a6dcb8d541adcdcb\bfCtUuXQ.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\46ad0451724a4bab97646622acb533bb\EeI64WXUAN.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\4a63300f549a466a9e4f3c9ad3cdcd52\vEQ9qoin.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\4ab10f3f9d7444f78b746dc1e0330057\V8oXsdk.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\4bab0920df0c4d2f96ef109789bc3d49\Xyzz9uRHdWO.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\539a4e218da546a4ab397a34f98198c3\1vnFfU87.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\6b9f9c484cf047d4ac85b4a583931f93\FWapRlD.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\8dbd7f26225346d08f1b083255d2338e\V6cW9na.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\942b321edcd5429c95a0383b679911ce\wldjfsmkyuuGB.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\a936d70023e442189d883a13419faa71\UZc7PziMCDvup.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\b757a1a53a5544c989f4d62ba25988e6\L3KqZhC9.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\d31ba9cbc6d44c13a0c342083696e61f\QWpPtuWQD.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\d35a5a3db1954a7fba9d05db288db9a2\g3EDVlZUJZLc1.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Temp\f9a659fd0e5448b6848303ba9c5f7b20\93bQdRcV.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\c99bf4a303b84f18a74b813894cff5ca\GYqldfL5vHuQg.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\wupdate\wupdate.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\20c737ecd717465dbb14cea14115f6fa\uKUHuToxE6.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\7f9ae6a3f27146389b662d5612140065\LmbRZLlSzR.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\Event Monitor\em.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\msi.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\SIVApp\SIVApp.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\aswast\ml.py','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\aswast\python\pythonw.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\d8de72ce3c2e4e47a380c174969dcf8c\69XuaAXVcJ7DC.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\f156e196839e4e7ba17711337c9127d0\h7TitKlCkr.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\gplyra\gplyra.exe','32'); DeleteFile('C:\Users\Александр\appdata\local\temp\b.exe','32'); DeleteFile('C:\Users\Александр\appdata\local\wupdate\wupdate.exe','32'); DeleteFile('C:\Users\Александр\appdata\roaming\curl\curl_7_54.exe','32'); DeleteFile('C:\Users\Александр\appdata\roaming\event monitor\em.exe','32'); DeleteFile('C:\Users\Александр\appdata\roaming\event monitor\isxdl.dll','32'); DeleteFile('C:\Users\Александр\appdata\roaming\sivapp\sivapp.exe','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\SETUPS~1\ml.py','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\SETUPS~1\python\pythonw.exe','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\curl\curl.exe','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\curl\curl_7_54.exe','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\setupsk\ml.py','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\python34.dll','32'); DeleteFile('C:\Users\8523~1\AppData\Roaming\setupsk\python\pythonw.exe','32'); DeleteFile('C:\Windows\Microsoft\svchost.exe','32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32'); DeleteFile('C:\Windows\System32\icacl.exe','32'); DeleteFile('C:\Windows\Temp\g3FFC.tmp.exe','32'); DeleteFile('C:\Windows\Temp\g4B70.tmp.exe','32'); DeleteFile('C:\Windows\microsoft\svchost.exe','32'); DeleteFile('C:\Windows\microsoft\svchost.exe.exe','32'); DeleteFile('C:\Windows\system32\Tasks\71e14eb66e92df602a4d04116259c9a6','64'); DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','64'); DeleteFile('C:\Windows\system32\Tasks\MSI','64'); DeleteFile('C:\Windows\system32\Tasks\RunAtStartup','64'); DeleteFile('C:\Windows\system32\Tasks\TnqpiRJoXWMCwN','64'); DeleteFile('C:\Windows\system32\Tasks\curl','64'); DeleteFile('C:\Windows\system32\Tasks\curls','64'); DeleteFile('C:\Windows\system32\Tasks\setupsk','64'); DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64'); DeleteFile('C:\Windows\system32\Tasks\uuxHwpnMkRCRpJh','64'); DeleteFile('C:\Windows\system32\Tasks\uuxHwpnMkRCRpJh2','64'); DeleteFile('C:\Windows\system32\Tasks\wupdate','64'); DeleteFile('C:\Windows\system32\icacl.exe','32'); DeleteFile('C:\Windows\windefender.exe','32'); DeleteFile('c:\program files (x86)\qyerbvxrhie\ftfuirnlso.exe','32'); DeleteFile('c:\program files\71e14eb66e92df602a4d04116259c9a6\8231a556bf8cda9261345bb8b2d8d0b0.exe','32'); DeleteFile('c:\users\Александр\appdata\roaming\event monitor\em.exe','32'); DeleteFile('c:\users\Александр\appdata\roaming\frostythunder\cloudnet.exe','32'); DeleteFile('c:\users\8523~1\appdata\roaming\setupsk\python\pythonw.exe','32'); DeleteFile('c:\windows\microsoft\svchost.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteService('71e14eb66e92df602a4d04116259c9a6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4Mr9Sa5wdU2YA.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4phIGNDOnj757D.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','69XuaAXVcJ7DC.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','93bQdRcV.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EeI64WXUAN.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FWapRlD.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GYqldfL5vHuQg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','L3KqZhC9.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LmbRZLlSzR.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QWpPtuWQD.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SIVApp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UZc7PziMCDvup.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','V8oXsdk.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xyzz9uRHdWO.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZHMPbqEv.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bfCtUuXQ.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cloudnet'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cmhvissniw'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','g3EDVlZUJZLc1.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','h7TitKlCkr.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','j8HQ5IogSFp.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qrNNRzxEri.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uKUHuToxE6.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vEQ9qoin.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wldjfsmkyuuGB.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yVEBLWSiJGa.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aswast','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','АЛЕКСАНДР-ПК'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Извиняюсь за ожидание, прикладываю лог
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикладываю файл. Могу точно сказать, что это ещё не конец, странные процессы и вылеты окон эксплорера остались
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пожалуйста
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\RunOnce: [АЛЕКСАНДР-ПК] => C:\Windows\Temp\gE2DF.tmp.exe [212992 2017-09-12] () <==== ATTENTION HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION CHR Extension: (No Name) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\lndiecnlfaibiffoeijpjnblnmdlcpog [2017-08-15] CHR Extension: (No Name) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\gjmlmdpjbllmjgmlnbgfndakgmmfpgao [2017-02-09] CHR Extension: (Search) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfdfkpmnpnokkjocgimlgmjhhokkbnoh [2017-08-15] CHR Extension: (Startpage) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\damkpleomkdhknamfiiopjapahooeegi [2017-08-15] CHR Extension: (New tab page) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\jecppljlbjojndhjnkcmphdklpbkbahl [2017-08-15] OPR Extension: (0) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-02-16] OPR Extension: (0) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbomckfkgpfkhgcponiencnhemallhhh [2017-02-09] OPR Extension: (0) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-08-15] S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION 2017-08-23 12:45 - 2017-08-23 12:45 - 000000000 ____D C:\Users\Все пользователи\4e1a9ec1316c424cace482cfd13f806d 2017-08-23 12:45 - 2017-08-23 12:45 - 000000000 ____D C:\Users\Александр\AppData\Local\0f18c8ec01b0460a864b62435518a32f 2017-08-23 12:45 - 2017-08-23 12:45 - 000000000 ____D C:\ProgramData\4e1a9ec1316c424cace482cfd13f806d 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\Users\Все пользователи\a58f327dcdde4259afc0e9de3052e240 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\Users\Все пользователи\7b1f2033c81f448cb32233a76a2531e7 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\Users\Александр\AppData\Roaming\9f1b075699b7425598b9f734e1933ad3 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\Users\Александр\AppData\Local\9a09ab09763c4db0aed532156d7970ca 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\ProgramData\a58f327dcdde4259afc0e9de3052e240 2017-08-23 12:44 - 2017-08-23 12:44 - 000000000 ____D C:\ProgramData\7b1f2033c81f448cb32233a76a2531e7 Folder: C:\Users\Александр\AppData\Roaming\sdu 2017-08-23 08:40 - 2017-08-23 08:40 - 000000000 ____D C:\Users\Все пользователи\8dba3966ca7a4e649d6ff0917eca4ac4 2017-08-23 08:40 - 2017-08-23 08:40 - 000000000 ____D C:\Users\Александр\AppData\Roaming\409058127ea143caaaaa5b884f020bf8 2017-08-23 08:40 - 2017-08-23 08:40 - 000000000 ____D C:\ProgramData\8dba3966ca7a4e649d6ff0917eca4ac4 2017-08-23 08:39 - 2017-08-23 08:40 - 000000000 ____D C:\Users\Все пользователи\11474d6216af492e90e3c37382e520e8 2017-08-23 08:39 - 2017-08-23 08:40 - 000000000 ____D C:\ProgramData\11474d6216af492e90e3c37382e520e8 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\Users\Все пользователи\ab6a26d53dbc49b99c1ed5223ff49d97 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\Users\Все пользователи\8cd0086608434055a5ce27e19fee53d8 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\Users\Все пользователи\463537d79b8e443cbff2d1b64e5e84b4 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\Users\Александр\AppData\Roaming\1df39632fd2d4622a2772f32c8da52a6 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\Users\Александр\AppData\Roaming\1c7af82a91be441099f3ee7057ef006b 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\ProgramData\ab6a26d53dbc49b99c1ed5223ff49d97 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\ProgramData\8cd0086608434055a5ce27e19fee53d8 2017-08-21 18:47 - 2017-08-21 18:47 - 000000000 ____D C:\ProgramData\463537d79b8e443cbff2d1b64e5e84b4 2017-08-21 18:45 - 2017-09-03 22:34 - 000031027 _____ C:\Windows\1029f94d68055fc15a33b2833aa7f773.ps1 2017-08-21 18:45 - 2017-09-03 22:34 - 000003474 _____ C:\Windows\System32\Tasks\1029f94d68055fc15a33b2833aa7f773 2017-08-21 17:51 - 2017-08-21 17:51 - 000000000 ____D C:\Users\Александр\AppData\Local\73c5a4415e9f48d7ad92db4d5e8fa64c 2017-08-21 17:51 - 2017-08-21 17:51 - 000000000 ____D C:\Users\Александр\AppData\Local\3d1052c938bd4c369a9c16bfc26314c5 2017-08-21 17:50 - 2017-08-21 17:51 - 000000000 ____D C:\Users\Александр\AppData\Roaming\d8de72ce3c2e4e47a380c174969dcf8c 2017-08-19 12:54 - 2017-09-03 22:43 - 000000000 ____D C:\Users\Все пользователи\e6da7161ec8044e1b20e7bd3962b3b93 2017-08-19 12:54 - 2017-09-03 22:43 - 000000000 ____D C:\ProgramData\e6da7161ec8044e1b20e7bd3962b3b93 2017-08-19 12:54 - 2017-08-19 12:54 - 000000000 ____D C:\Users\Все пользователи\94bd79c630bb4a1cac5a8a06e925de30 2017-08-19 12:54 - 2017-08-19 12:54 - 000000000 ____D C:\Users\Александр\AppData\Local\406e99fe02604493829f1d9bccd8634e 2017-08-19 12:54 - 2017-08-19 12:54 - 000000000 ____D C:\ProgramData\94bd79c630bb4a1cac5a8a06e925de30 2017-08-16 13:54 - 2017-08-16 13:54 - 000000000 ____D C:\Users\Все пользователи\6955fb21c65940c0bef03165776dcdda 2017-08-16 13:54 - 2017-08-16 13:54 - 000000000 ____D C:\Users\Александр\AppData\Local\c99bf4a303b84f18a74b813894cff5ca 2017-08-16 13:54 - 2017-08-16 13:54 - 000000000 ____D C:\Users\Александр\AppData\Local\3b60cb8adf68401d8c2c0e2e9a5e989c 2017-08-16 13:54 - 2017-08-16 13:54 - 000000000 ____D C:\ProgramData\6955fb21c65940c0bef03165776dcdda 2017-08-15 22:16 - 2017-08-15 22:16 - 000000000 ____D C:\Users\Все пользователи\b1cec899715a40009ade88195260d62f 2017-08-15 22:16 - 2017-08-15 22:16 - 000000000 ____D C:\Users\Александр\AppData\Roaming\f156e196839e4e7ba17711337c9127d0 2017-08-15 22:16 - 2017-08-15 22:16 - 000000000 ____D C:\Users\Александр\AppData\Roaming\c9692e63772844f6aa3342c465a3e513 2017-08-15 22:16 - 2017-08-15 22:16 - 000000000 ____D C:\ProgramData\b1cec899715a40009ade88195260d62f 2017-08-15 22:15 - 2017-08-15 22:15 - 000000000 ____D C:\Users\Все пользователи\e933bc0a2de844598942043a23a71314 2017-08-15 22:15 - 2017-08-15 22:15 - 000000000 ____D C:\ProgramData\e933bc0a2de844598942043a23a71314 Folder: C:\Users\Александр\AppData\Roaming\curl Folder: C:\Users\Александр\AppData\Local\yc Folder: C:\Users\Александр\AppData\LocalLow\HGQlVNXRXkVsT 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\Users\Все пользователи\4e61d63400a34d458e88c269c0a3c958 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\Users\Все пользователи\10c2802b1e9d4cf58ee8ad58584c9b33 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\Users\Александр\AppData\Roaming\7f9ae6a3f27146389b662d5612140065 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\Users\Александр\AppData\Roaming\20c737ecd717465dbb14cea14115f6fa 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\ProgramData\4e61d63400a34d458e88c269c0a3c958 2017-08-15 21:38 - 2017-08-15 21:38 - 000000000 ____D C:\ProgramData\10c2802b1e9d4cf58ee8ad58584c9b33 2017-08-15 21:31 - 2017-08-15 21:31 - 000000000 ____D C:\Program Files (x86)\GXZiGyYLSHyU2lfikjtybog Folder: C:\Users\Александр\AppData\Roaming\FrostyThunder 2017-08-15 21:30 - 2017-08-15 21:30 - 000000000 ____D C:\Users\Все пользователи\0fc5784e677940a6bc3138687f6f3f27 2017-08-15 21:30 - 2017-08-15 21:30 - 000000000 ____D C:\ProgramData\0fc5784e677940a6bc3138687f6f3f27 2017-08-15 21:29 - 2017-08-15 21:31 - 000000000 ____D C:\Program Files (x86)\thzXuJvjUlfikjtybog Folder: C:\Program Files\Common Files\FV7ZO9ID File: C:\Windows\e7ef011a67c8811a4f84705a1a70e3fc.exe File: C:\Windows\system32\Drivers\eb710bbee7a1753b67b306c392b1c437.sys 2017-08-15 04:34 - 2017-08-15 04:34 - 002278400 _____ C:\Windows\e7ef011a67c8811a4f84705a1a70e3fc.exe 2017-08-15 04:34 - 2017-08-15 04:34 - 000077184 _____ (IAPH2V) C:\Windows\system32\Drivers\eb710bbee7a1753b67b306c392b1c437.sys 2016-06-13 09:10 - 2016-06-13 09:10 - 000000000 ____H () C:\Users\Александр\AppData\Local\BIT1F4.tmp 2017-01-19 00:58 - 2017-01-19 00:58 - 000000016 _____ () C:\ProgramData\mntemp C:\Windows\Temp\gE2DF.tmp.exe Task: {19CD21C4-0F90-485D-A709-7E1301E86A49} - \71e14eb66e92df602a4d04116259c9a6 -> No File <==== ATTENTION Task: {43016E58-A4A8-4996-BC0D-0477E68CE122} - \MSI -> No File <==== ATTENTION Task: {8AAB8784-FB1A-4A81-BC69-14A37A847587} - \setupsk -> No File <==== ATTENTION Task: {98914232-FC3C-4AD4-80F3-9049576B305A} - \curl -> No File <==== ATTENTION File: C:\Users\Александр\AppData\Local\etdctrl\etdctrl.exe Task: {9D216013-2888-4750-BD38-3C998FF5776B} - System32\Tasks\etdctrl => C:\Users\Александр\AppData\Local\etdctrl\etdctrl.exe <==== ATTENTION File: C:\Windows\1029f94d68055fc15a33b2833aa7f773.ps1 Task: {9E1F75EE-8E47-4D3A-A871-64EA1282C4C8} - System32\Tasks\1029f94d68055fc15a33b2833aa7f773 => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\1029f94d68055fc15a33b2833aa7f773.ps1" <==== ATTENTION Task: {B80BE838-07E2-4C2F-BE0C-CEAD758ADCAA} - \setupsk_upd -> No File <==== ATTENTION Task: {EA91B50F-6064-42D1-8AE2-4F10DD2401C6} - \curls -> No File <==== ATTENTION ShortcutWithArgument: C:\Users\Александр\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://egsovev.ru/?utm_source=startlink03&utm_content=ba5bec621c52a2da70eba3e6bd564742&utm_term=D4523ED87F2F2040E5C7338B47C48E67&utm_d=20170209" ShortcutWithArgument: C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://egsovev.ru/?utm_source=startlink03&utm_content=ba5bec621c52a2da70eba3e6bd564742&utm_term=D4523ED87F2F2040E5C7338B47C48E67&utm_d=20170209" MSCONFIG\startupreg: 1vnFfU87.exe => C:\Users\Александр\AppData\Local\Temp\539a4e218da546a4ab397a34f98198c3\1vnFfU87.exe -r1_1 -r2_2 MSCONFIG\startupreg: 4phIGNDOnj757D.exe => C:\Users\Александр\AppData\Local\3b60cb8adf68401d8c2c0e2e9a5e989c\4phIGNDOnj757D.exe -r1_1 -r2_2 MSCONFIG\startupreg: 5I7E5DFRga.exe => C:\Users\Александр\AppData\Roaming\1df39632fd2d4622a2772f32c8da52a6\5I7E5DFRga.exe -r1_1 -r2_2 MSCONFIG\startupreg: 6UhnlCLeZgnN.exe => C:\ProgramData\11474d6216af492e90e3c37382e520e8\6UhnlCLeZgnN.exe MSCONFIG\startupreg: 7HqTXqHzDVkd.exe => C:\Users\Александр\AppData\Local\Temp\aeb5de315ebb4abea72292b12c88a9f2\7HqTXqHzDVkd.exe MSCONFIG\startupreg: 8NFTKM9.exe => C:\Users\Александр\AppData\Local\Temp\b2f17b7c41fb4c339b186006130b0861\8NFTKM9.exe -r1_1 -r2_2 MSCONFIG\startupreg: 93bQdRcV.exe => C:\Users\Александр\AppData\Local\Temp\f9a659fd0e5448b6848303ba9c5f7b20\93bQdRcV.exe -r1_1 -r2_2 MSCONFIG\startupreg: aswast => "C:\Users\Александр\AppData\Roaming\aswast\python\pythonw.exe" "C:\Users\Александр\AppData\Roaming\aswast\ml.py" --APPNAME="aswast" MSCONFIG\startupreg: bfCtUuXQ.exe => C:\Users\Александр\AppData\Local\Temp\3249b95708d84622a6dcb8d541adcdcb\bfCtUuXQ.exe -r1_1 -r2_2 MSCONFIG\startupreg: FWapRlD.exe => C:\Users\Александр\AppData\Local\Temp\6b9f9c484cf047d4ac85b4a583931f93\FWapRlD.exe -r1_1 -r2_2 MSCONFIG\startupreg: h7TitKlCkr.exe => C:\Users\Александр\AppData\Roaming\f156e196839e4e7ba17711337c9127d0\h7TitKlCkr.exe -r1_1 -r2_2 MSCONFIG\startupreg: ITvNDLeupkS9T.exe => C:\Users\Александр\AppData\Local\Temp\e681791628374ca6b8c6ec0359cb2245\ITvNDLeupkS9T.exe MSCONFIG\startupreg: L3KqZhC9.exe => C:\Users\Александр\AppData\Local\Temp\b757a1a53a5544c989f4d62ba25988e6\L3KqZhC9.exe -r1_1 -r2_2 MSCONFIG\startupreg: LmbRZLlSzR.exe => C:\Users\Александр\AppData\Roaming\7f9ae6a3f27146389b662d5612140065\LmbRZLlSzR.exe -r1_1 -r2_2 MSCONFIG\startupreg: oIpqTMb.exe => C:\Users\Александр\AppData\Roaming\1c7af82a91be441099f3ee7057ef006b\oIpqTMb.exe MSCONFIG\startupreg: puw2vxx6VVZQL.exe => C:\Users\Александр\AppData\Roaming\409058127ea143caaaaa5b884f020bf8\puw2vxx6VVZQL.exe -r1_1 -r2_2 MSCONFIG\startupreg: qrNNRzxEri.exe => C:\Program Files\Windows Journal\8Z6IFBTFB95Y49UGHQ42J\qrNNRzxEri.exe MSCONFIG\startupreg: rVYZZzDVGVY7.exe => C:\ProgramData\8cd0086608434055a5ce27e19fee53d8\rVYZZzDVGVY7.exe -r1_1 -r2_2 MSCONFIG\startupreg: uKUHuToxE6.exe => C:\Users\Александр\AppData\Roaming\20c737ecd717465dbb14cea14115f6fa\uKUHuToxE6.exe -r1_1 -r2_2 MSCONFIG\startupreg: V6cW9na.exe => C:\Users\Александр\AppData\Local\Temp\8dbd7f26225346d08f1b083255d2338e\V6cW9na.exe MSCONFIG\startupreg: V8oXsdk.exe => C:\Users\Александр\AppData\Local\Temp\4ab10f3f9d7444f78b746dc1e0330057\V8oXsdk.exe -r1_1 -r2_2 MSCONFIG\startupreg: vEQ9qoin.exe => C:\Users\Александр\AppData\Local\Temp\4a63300f549a466a9e4f3c9ad3cdcd52\vEQ9qoin.exe -r1_1 -r2_2 MSCONFIG\startupreg: wldjfsmkyuuGB.exe => C:\Users\Александр\AppData\Local\Temp\942b321edcd5429c95a0383b679911ce\wldjfsmkyuuGB.exe -r1_1 -r2_2 Hosts: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пожалуйста
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Дико извиняюсь, но по каким-то причинам я данный архив не могу добавить в стандартную форму, выдаёт ошибку, скорее всего превышает допустимый размер. Поэтому залил файл сюда - https://files.fm/u/79ccfvvu
Удалите старые вложения Мой кабинет => Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пожалуйста
Выполните скрипт в uVS:
Код:;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG DIRZOO %SystemDrive%\PROGRAM FILES\WINDOWS JOURNAL\FBKY1HWTIPHWET828ICVQ\*.EXE zoo %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\SKYPE\MY SKYPE RECEIVED FILES\DWX1DS3V.EXE zoo %SystemRoot%\TEMP\GC2B2.TMP.EXE zoo %SystemRoot%\TEMP\GF5A4.TMP.EXE zoo D:\DWX1DS3V.EXE delall %SystemRoot%\TEMP\GC2B2.TMP.EXE delall %SystemRoot%\TEMP\GF5A4.TMP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.77\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.35.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.59.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\USERS\8523~1\APPDATA\LOCAL\TEMP\HYDA083.TMP.1489173626\HTA\3RDPARTY\FS.OCX restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Карантин отправил, но удалил оттуда два файла, которые были связаны с надёжным приложением DWX1DS3V.EXE - Это антивирус, которым я вначале сканировал систему самостоятельно.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: Folder: C:\PROGRAM FILES\WINDOWS JOURNAL\FBKY1HWTIPHWET828ICVQ\- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пожалуйста
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: C:\PROGRAM FILES\WINDOWS JOURNAL\FBKY1HWTIPHWET828ICVQ\ Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пожалуйста
Уважаемый(ая) stytche, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
