Лечил Kaspersky Rescue Disk 2018. Проявлений стало меньше, но curet все равно находит угрозы.
Лечил Kaspersky Rescue Disk 2018. Проявлений стало меньше, но curet все равно находит угрозы.
Уважаемый(ая) vmprog, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Common Files\SailIty\uninstall.dat',''); QuarantineFile('C:\Program Files (x86)\Common Files\finder.exe',''); QuarantineFile('C:\Users\Toshiba\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Windows\windowsManager.exe',''); QuarantineFile('C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64x.exe',''); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('c:\users\toshiba\appdata\local\xservice\xservice.dll',''); TerminateProcessByName('C:\Windows\winmain64.exe'); QuarantineFile('C:\Windows\winmain64.exe',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\winmain64.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster Scheduler','64'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Toshiba)','64'); DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','64'); DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Active Directory Rights Management Services Client\Active Directory Rights Management Services ClientTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\CertificateServicesClient\CertificateServicesClientTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\DiagnosisTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DiskDiagnostic\DiskDiagnosticTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\Media CenterTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Registry\RegistryTask','64'); DeleteFile('C:\Windows\windowsManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Services\WindowsUpdate32','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Shell\ShellTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Windows Filtering Platform\Windows Filtering PlatformTask','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\TextServicesFramework\TextServicesFrameworkTask','64'); DeleteFile('C:\Windows\system32\Tasks\One System Care Delayed','64'); DeleteFile('C:\Windows\system32\Tasks\One System Care Monitor','64'); DeleteFile('C:\Windows\system32\Tasks\psv_Re-Eco','64'); DeleteFile('C:\Windows\system32\Tasks\psv_Silverfan','64'); DeleteFile('C:\Windows\system32\Tasks\psv_Truelam','64'); DeleteFile('C:\Windows\system32\Tasks\psv_SolFax','64'); DeleteFile('C:\Windows\system32\Tasks\psv_ZotKaycof','64'); DeleteFile('C:\Windows\system32\Tasks\ScheduledUpdate','64'); DeleteFile('C:\Users\Toshiba\AppData\Local\Temp\csrss\scheduled.exe','32'); DeleteFile('C:\Windows\system32\Tasks\System Cleanup','64'); DeleteFile('C:\Program Files (x86)\Common Files\finder.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{2FCBAD76-1D6B-45AE-918F-C316E4ABA92D}','64'); DeleteFile('C:\Windows\system32\Tasks\{47356368-C88F-4E2A-831D-FD30827F6948}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перезагрузка была.
Карантин добавил.
Свежие логи вложил.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Просканировал.
Приложил.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [8685569] => "C:\Users\Toshiba\AppData\Roaming\qwdkmyv1gso\42sknxxcx0v.exe" /VERYSILENT HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [HWSBFCVLIX195ML] => "C:\Program Files\TY0QQUEL6B\9P9BDF5JY.exe" HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [0Z5WTCPBXJTGC0U] => "C:\Program Files\EPY0UGAQ3J\B6ZGAIIBV.exe" HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [72TITGLVRZNNO4J] => "C:\Program Files\RE4F2GGR2G\YHS12JCAW.exe" HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [2J18HRN61EDXWMX] => "C:\Program Files\PDBOAPAFJN\UJX2D8DFA.exe" HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [7015090] => "C:\Users\Toshiba\AppData\Roaming\kn3hecu5a35\sdoqxcgh4cb.exe" /VERYSILENT HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [2676395] => "C:\Users\Toshiba\AppData\Roaming\za3jsa3tjgr\c5r4exagky3.exe" /VERYSILENT HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [5423359] => "C:\Users\Toshiba\AppData\Roaming\hzn5p4sfdaf\uy0gaq25l52.exe" /VERYSILENT HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [CloudNet] => C:\Users\Toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2018-06-17] (EpicNet Inc.) <==== ATTENTION C:\Users\Toshiba\AppData\Roaming\EpicNet Inc HKU\S-1-5-21-2765829564-3605364903-382798925-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2765829564-3605364903-382798925-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2765829564-3605364903-382798925-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uOEZDZyZ9q3pPDf3lRlOAvJYE37EdXBSFf5IR9w3iU4tM4uCGpM9NpFpt2F8zR3oF4BkDocJagC_pT74myGpGEUDcRv6Ed0tRr2dcw67DiB4ZUFKOB6fEYb-ZAhfaQSHM41DGGsPQ8QGiJKb45KYGhrTtYQ,,&q={searchTerms} C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2765829564-3605364903-382798925-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64x.exe [593920 2018-06-08] (SystemaRev) [File not signed] <==== ATTENTION C:\Program Files\SystemaRev 2018-06-17 10:38 - 2018-06-17 10:38 - 001435136 ____H C:\Windows\windefender.exe 2018-06-17 10:38 - 2018-06-19 04:38 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate 2018-06-13 19:46 - 2018-06-13 19:46 - 000000000 ____D C:\Users\Все пользователи\SystemaRev 2018-06-13 19:46 - 2018-06-13 19:46 - 000000000 ____D C:\ProgramData\SystemaRev 2018-06-13 06:13 - 2018-06-13 06:13 - 000000000 _____ C:\Windows\System32\Tasks\rArHIXNWKfbeRtR 2018-06-12 21:03 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files (x86)\EgDGbQEiU 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\za3jsa3tjgr 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\t0vbenlyjge 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\kn3hecu5a35 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\hzn5p4sfdaf 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\TY0QQUEL6B 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\RE4F2GGR2G 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\PDBOAPAFJN 2018-06-12 21:02 - 2018-06-13 06:07 - 000000000 ____D C:\Program Files\EPY0UGAQ3J 2018-06-12 13:34 - 2018-06-12 13:34 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\SystemaRev 2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\faymfqnkbwv 2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Program Files\F3FHJGS8ER 2018-06-12 13:32 - 2018-06-12 13:33 - 000000000 ____D C:\Program Files\0VCZ9B41MJ 2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\kdqm430zrnx 2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\cnixfhupglf 2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\cirdhphquhq 2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Program Files\KN70HD6MFV 2018-06-12 13:32 - 2018-06-12 13:32 - 000000000 ____D C:\Program Files\DKJEHAA2LF 2018-06-12 13:09 - 2018-06-12 13:09 - 000000000 ____D C:\Program Files\SystemaRev 2018-06-12 13:08 - 2018-06-12 13:08 - 000003826 _____ C:\Windows\System32\Tasks\MainPMgr 2018-06-12 13:08 - 2018-06-12 13:08 - 000003788 _____ C:\Windows\System32\Tasks\Update_4.0.8 2018-06-12 13:08 - 2018-06-12 13:08 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\EpicNet Inc 2018-06-12 13:05 - 2018-06-12 21:02 - 000000012 _____ C:\Users\Все пользователи\rwi.khad 2018-06-12 13:05 - 2018-06-12 21:02 - 000000012 _____ C:\ProgramData\rwi.khad 2018-06-12 13:05 - 2018-06-12 21:02 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2018-06-12 13:05 - 2018-06-12 21:02 - 000000004 _____ C:\ProgramData\lock.dat 2018-06-12 13:05 - 2018-06-12 13:40 - 000000000 ____D C:\Users\Все пользователи\yahoochrome_D 2018-06-12 13:05 - 2018-06-12 13:40 - 000000000 ____D C:\ProgramData\yahoochrome_D 2018-06-12 13:04 - 2018-06-13 06:07 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\qwdkmyv1gso 2018-06-12 13:04 - 2018-06-12 13:12 - 000000000 ____D C:\Program Files\E3C11OI1ZB 2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\yextph1njfu 2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\jw0vfyzutd3 2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\2znsyoft44r 2018-06-12 13:04 - 2018-06-12 13:05 - 000000000 ____D C:\Program Files\SSCXG5EP6H 2018-06-12 10:03 - 2018-06-12 10:03 - 000015610 _____ C:\Windows\SysWOW64\findit.xml 2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\Users\Все пользователи\Voyasollams 2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\Users\Toshiba\AppData\LocalLow\IObit 2018-06-12 10:02 - 2018-06-12 10:03 - 000000000 ____D C:\ProgramData\Voyasollams 2018-06-12 10:01 - 2018-06-12 14:04 - 000000000 ____D C:\Users\Все пользователи\Voyasollam 2018-06-12 10:01 - 2018-06-12 14:04 - 000000000 ____D C:\ProgramData\Voyasollam 2018-06-12 10:01 - 2018-06-12 10:39 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble 2018-06-12 10:01 - 2018-06-12 10:39 - 000000000 ____D C:\ProgramData\Logic Cramble 2018-06-12 10:00 - 2018-06-12 10:00 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\SystemHealer 2018-06-12 10:00 - 2018-06-12 10:00 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\OneSystemCare 2018-06-12 09:58 - 2018-06-13 06:07 - 000000000 ____D C:\ProgramData\dahkService 2018-06-12 09:58 - 2018-06-12 13:20 - 000000000 ____D C:\Users\Toshiba\AppData\Local\WhiteClick 2018-06-12 09:58 - 2018-06-12 10:00 - 000000000 ____D C:\Program Files (x86)\lsJZU 2018-06-12 09:58 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Local\Hostinstaller 2018-06-12 09:58 - 2018-06-12 09:58 - 000000012 ___SH C:\Windows\AB43DED7B81B 2018-06-12 09:58 - 2018-06-12 09:58 - 000000003 _____ C:\Users\Toshiba\AppData\Local\wbem.ini 2018-06-12 09:58 - 2018-06-12 09:58 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\Microleaves Task: {82DCE477-26D7-4E64-BC8C-2E9740616640} - \Microsoft\Windows\Location\GoogleUpdateCore -> No File <==== ATTENTION Task: {DACB82F1-4CAA-4683-9C18-3D2570E21B46} - \Microsoft\Windows\Location\GoogleUpdateTask -> No File <==== ATTENTION Task: {F0AB03F0-1312-4BA5-9AE8-5D006C0511D9} - \Microsoft\Windows\Location\Scheduled -> No File <==== ATTENTION AlternateDataStreams: C:\Windows:Active.txt [13] Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перезагрузки не было, но появилось окно о том, что ее надо сделать. Нажал ок и компьютер перезагрузился.
В диспетчере задач cloudnet.exe есть.
Сделайте новый лог FRST.txt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложил
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [HolyFire] => C:\Windows\rss\csrss.exe [3171840 2018-06-17] () <==== ATTENTION HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [CloudNet] => C:\Users\Toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2018-06-21] (EpicNet Inc.) <==== ATTENTION HKU\S-1-5-21-2765829564-3605364903-382798925-1000\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\app.ex CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\SystemTable S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] 2018-06-17 10:34 - 2018-06-22 07:39 - 000003190 _____ C:\Windows\System32\Tasks\csrss 2018-06-21 06:54 - 2018-06-21 06:54 - 000003826 _____ C:\Windows\System32\Tasks\MainPMgr 2018-06-21 06:54 - 2018-06-21 06:54 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\EpicNet Inc 2018-06-21 06:54 - 2018-06-21 06:54 - 000000000 ____D C:\Program Files\SystemaRev 2018-06-21 06:53 - 2018-06-22 07:39 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate 2018-06-21 06:53 - 2018-06-21 06:53 - 001435136 ____H C:\Windows\windefender.exe 2018-06-19 04:48 - 2018-06-21 06:54 - 000003788 _____ C:\Windows\System32\Tasks\Update_4.0.10 2018-06-19 04:48 - 2018-06-19 04:48 - 000003376 _____ C:\Windows\System32\Tasks\RestoreRevTask 2018-06-16 22:18 - 2018-06-16 22:18 - 000000164 ____H C:\Program Files\Common Files\restore_rev.bat 2018-06-12 10:01 - 2018-06-12 10:03 - 000126464 _____ C:\Users\Toshiba\AppData\Local\noah.dat 2018-06-12 10:01 - 2018-06-12 10:03 - 000070896 _____ C:\Users\Toshiba\AppData\Local\Config.xml 2018-06-12 10:01 - 2018-06-12 10:03 - 000005568 _____ C:\Users\Toshiba\AppData\Local\md.xml 2018-06-12 10:01 - 2018-06-12 10:02 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-06-12 10:01 - 2018-06-12 10:02 - 000000000 ____D C:\ProgramData\IObit 2018-06-12 09:59 - 2018-06-12 13:29 - 000929792 _____ C:\Users\Toshiba\AppData\Local\sham.db 2018-06-12 09:59 - 2018-06-12 13:14 - 000016080 _____ C:\Users\Toshiba\AppData\Local\InstallationConfiguration.xml 2018-06-12 09:59 - 2018-06-12 10:13 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\IObit 2018-06-12 09:59 - 2018-06-12 09:59 - 000140800 _____ C:\Users\Toshiba\AppData\Local\installer.dat 2018-06-12 09:59 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Roaming\FastDataX 2018-06-12 09:59 - 2018-06-12 09:59 - 000000000 ____D C:\Users\Toshiba\AppData\Local\AdvinstAnalytics 1601-01-03 21:33 - 1601-01-03 21:33 - 000073216 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\eeYapyiFZiEu.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил
Сделайте лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложил результат проверки.
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил и перезагрузил.
Повторная проверка mbam не выявила ничего.
Cureit
C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\app[1].exe - infected with Trojan.Clipper.2
C:\Windows\System32\config\systemprofile\AppData\L ocalLow\Microsoft\CryptnetUrlCache\Content\2384631 CF4F7048D532F5DEBE3CEF0CF - infected with Trojan.Encoder.24384
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\users\toshiba\appdata\local\temp\csrss\schedule d.exe - Trojan.Win32.AntiAV.crct
- c:\users\toshiba\appdata\local\xservice\xservice.d ll - Trojan-Banker.Win32.Agent.afhb
- c:\windows\windefender.exe - Trojan.Win32.Agentb.jbdt
- c:\windows\windowsmanager.exe - not-a-virus:HEUR:AdWare.Win32.Razy.gen
- c:\windows\winmain64.exe - not-a-virus:HEUR:AdWare.Win32.Razy.gen
Уважаемый(ая) vmprog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.