При включении службы авто обновления Google Update поймал синий экран. После перезагрузки в планировщике заданий появились 4 задачи Mysa1, Mysa2, Mysa3, Ok. После отключения появлялись вновь. В безопасном режиме проверил все утилитой Dr.Web CureIt, что предложило - удалил/вылечил. Вирус остался. Был запущен KVRT, который нашел в MBR вирус и удалил, - проблема ушла. После были поставлены последние обновления Windows, удалены java и флешь плеер. Отключена поддержка протокола SMB1.
Прошу проверить, осталось ли что-то от трояна, пояснить каким наиболее вероятным способом он ко мне попал, и посоветовать какие бреши закрыть, для предотвращения подобного случая (приложил лог, где видно, как действовал троян, на сколько я понимаю). Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Artzz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Start::
CreateRestorePoint:
HKU\S-1-5-21-2092838603-4257588120-3095888223-1006\...\Run: [ezvitInfo] => [X]
HKU\S-1-5-21-2092838603-4257588120-3095888223-1006\...\Run: [AdobeBridge] => [X]
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
CHR HKLM-x32\...\Chrome\Extension: [gpicboiclhmnllnjdcfcffifpoaebgkm] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - <no Path/update_url>
S3 46e783ba8b5e6b2f; \??\C:\Users\zz\AppData\Local\Temp\296f17fd.sys [X] <==== ATTENTION
S3 46e783bba502dd8f; \??\C:\Users\zz\AppData\Local\Temp\11906484.sys [X] <==== ATTENTION
S3 46e783bc8b43ca0f; \??\C:\Users\zz\AppData\Local\Temp\1911e37e.sys [X] <==== ATTENTION
FirewallRules: [{9E9A1CF9-DBC0-4CB6-B548-91CC7AEE5640}] => (Allow) C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe No File
FirewallRules: [{0DC56779-CF6D-4BF9-B754-A6B47F4500AF}] => (Allow) C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe No File
FirewallRules: [{7C594ED4-BB30-4B2E-B8DB-3354D5583290}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{95C68B15-9D43-47CA-BBCD-165E671ACBA3}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{05AC57C1-6501-47FA-B684-DE955A26D769}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{D24B58E1-5C1B-47DA-BB32-EFB2F46F199E}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{DE0A89DA-BB2A-42A8-B9C9-3526931FBE4C}] => (Allow) D:\!GAME\Lost\LP2DX9.exe No File
FirewallRules: [{300D0D67-2376-46D8-B99A-64F592B2C8FD}] => (Allow) D:\!GAME\Lost\LP2DX9.exe No File
FirewallRules: [{225598D6-A408-4C1E-82A3-DD2BD15FB267}] => (Allow) D:\!GAME\Lost\LP2DX11.exe No File
FirewallRules: [{7FC0C557-A1F3-4822-948E-EB764BB47CCC}] => (Allow) D:\!GAME\Lost\LP2DX11.exe No File
FirewallRules: [{934EF508-29B2-46B9-A9D9-44BD7E3D578E}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{005C162C-98F0-4169-8B67-1BE151175CF3}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
FirewallRules: [{A4C538F2-DB6B-4837-9402-B5C9CC50CFC2}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{0A077650-B91E-4DE4-B0DC-1D4FC798A28E}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{E4352E27-D79F-4A18-99D3-59D3F99B7AA7}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{250F305C-5701-4833-A524-B29ED468FCAD}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{C1687D03-3A39-462E-9634-CAE15A59C596}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{BC306B4B-486F-462C-892E-C2E40FE7CF01}] => (Allow) C:\Users\zz\AppData\Local\Opera\Opera\temporary_downloads\AnyDesk.exe No File
FirewallRules: [{9A11510A-D981-415E-A5D2-0C922882535B}] => (Allow) C:\Program Files\ASUS\HomeCloud\Tomcat\Tomcat_OmniStore\bin\tomcat6.exe No File
FirewallRules: [{217803CA-C211-4A1C-B6EC-A1F001431C0C}] => (Allow) C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\sqlservr.exe No File
FirewallRules: [{44ED72DC-15A7-4A09-BE0A-CAA5666E5761}] => (Allow) C:\Program Files\ASUS\HomeCloud\ServerConsole\ASUS HomeCloud.exe No File
FirewallRules: [{B975758B-A834-4B9B-A265-CA0EC916C3F6}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMR\AODMR.exe No File
FirewallRules: [{37566376-E6F1-409F-B945-083925DE626E}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMR\AODMR.exe No File
FirewallRules: [{3A1AA4CD-9BD2-401E-AF85-0F43D28F11C9}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMS\AODMS.exe No File
FirewallRules: [{B985F737-9706-4C35-ACB6-5B8EE88F2516}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMS\AODMS.exe No File
FirewallRules: [{DD29F93F-AC4E-4D16-95B6-3C0DBCE6A730}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMS\AORelayDMS.exe No File
FirewallRules: [{A6009D6D-C5BC-4A35-9C22-DCD438B00B9A}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\DLNA\DMS\AORelayDMS.exe No File
FirewallRules: [{6A890A68-665B-4433-A0FF-27B8999A3D45}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\AMSRelayHelpAgent.exe No File
FirewallRules: [{37332B16-6E58-4F09-8C37-26948958A673}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\ASUS Media Streamer\AMSRelayHelpAgent.exe No File
FirewallRules: [{34C3369F-0953-4925-8553-40C856648748}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\MediaStreamer.exe No File
FirewallRules: [{5295D739-5C35-432C-8F4D-218B284E740B}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Media Streamer\MediaStreamer.exe No File
FirewallRules: [{7314CFFA-9DBD-45DB-86F7-8711FB0ED334}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Wi-Fi GO! AssistTool\StationApp.exe No File
FirewallRules: [{00D7F578-68A9-4EB3-A7D0-A852F8B7739F}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Wi-Fi GO! AssistTool\StationApp.exe No File
FirewallRules: [{C23E810F-A67E-4404-B0E3-93EC4B635850}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Wi-Fi GO! AssistTool\StationApp.exe No File
FirewallRules: [{FACE0C1F-E3F8-41A7-9451-F05A91BE8919}] => (Allow) C:\Program Files (x86)\ASUS\HomeCloud\Wi-Fi GO! AssistTool\StationApp.exe No File
FirewallRules: [{8665AC1E-1C52-4928-90F3-09BCA1B272BD}] => (Allow) C:\Program Files (x86)\OperaNEW\49.0.2725.34\opera.exe No File
FirewallRules: [{C6656A39-A1D3-4D95-AE3B-214DE0BE8145}] => (Allow) C:\Program Files (x86)\OperaNEW\50.0.2762.58\opera.exe No File
FirewallRules: [{43D7A5F3-D965-482A-81DF-5CD83B20108B}] => (Allow) C:\Program Files (x86)\Wi-Fi\Wi-Fi.exe No File
FirewallRules: [{7E555AFE-BDF6-40AA-BEC1-ED72409DE679}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\helptool.exe No File
FirewallRules: [{1F8C3909-CE59-4FCC-B9D5-82C7E227070D}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\YunExplorer.exe No File
FirewallRules: [{F4D578F7-A57F-4FE0-A005-ACB17B60445B}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\WifiService.exe No File
FirewallRules: [{9B10B3BD-4C2F-4FB5-9254-33D23C60C4A6}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\OSTotoHotspot.exe No File
FirewallRules: [{AA537F74-2C77-4E3C-A3A6-73E2D653C095}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\DrvHelp.exe No File
FirewallRules: [{07E2B8C0-198A-4039-89BB-787A2A9A8DF7}] => (Allow) C:\Program Files (x86)\OSTotoHotspot\\WifiService.exe No File
AlternateDataStreams: C:\Windows:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} [26]
AlternateDataStreams: C:\Windows\System32:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} [26]
AlternateDataStreams: C:\Users\zz:id [32]
AlternateDataStreams: C:\Users\Зайка:id [32]
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
AlternateDataStreams: C:\Users\zz\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}1 [26]
AlternateDataStreams: C:\Users\zz\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}1 [26]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [140]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect