Гугл ежедневно сообщает о подозрительном трафике из моей сети. Антивирусы пишут, что все чисто. Прошу помочь разобраться.
Гугл ежедневно сообщает о подозрительном трафике из моей сети. Антивирусы пишут, что все чисто. Прошу помочь разобраться.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Иоганн, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Удалите остатки от антивируса Avast утилитой Avast Remover
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: (disabled) UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) O22 - Task: (disabled) \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file) O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - (no file)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe',''); QuarantineFile('C:\Program Files\1JP064V2D6\1JP064V2D.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\avboost.exe',''); QuarantineFile('C:\Program Files\6HDXU3W0XN\6HDXU3W0X.exe',''); QuarantineFile('C:\Program Files (x86)\UnHackMe\hackmon.exe',''); QuarantineFile('C:\Program Files\7TN2HJBRS1\7TN2HJBRS.exe',''); QuarantineFile('C:\Program Files (x86)\Booking\12816176.exe',''); QuarantineFile('C:\Windows\rss\csrss.exe',''); QuarantineFile('C:\Program Files\XJGUUPY6LS\A8N93P47L.exe',''); QuarantineFile('C:\Program Files\Synaptics\T2PQFTVYM66UURDY8IS5X\rxiIeEhC5N.exe',''); QuarantineFile('C:\Program Files\PM1G9PIO8N\PM1G9PIO8.exe',''); QuarantineFile('C:\Program Files\YALEX7D26Y\YALEX7D26.exe',''); QuarantineFile('C:\Program Files\S60Q2E2G59\S60Q2E2G5.exe',''); QuarantineFile('C:\Program Files\NR9EI877J8\F5XVHLRFW.exe',''); QuarantineFile('C:\Program Files\ERZ0ARTMY4\ERZ0ARTMY.exe',''); QuarantineFile('C:\Program Files\3HDAHB8QEP\3HDAHB8QE.exe',''); QuarantineFile('C:\Program Files\5FFIEU19IM\5FFIEU19I.exe',''); QuarantineFile('C:\Program Files\9XBPCKEF8O\TQ6QKNG02.exe',''); QuarantineFile('C:\Program Files\02FXR5EUE9\02FXR5EUE.exe',''); QuarantineFile('C:\Program Files\PII67KMZWG\PII67KMZW.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\j2p5lbnuzax\bdhammm3ggd.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\j55g5l4orof\4waetqexhpk.exe',''); QuarantineFile('C:\Program Files\8GPVMI29E5\8GPVMI29E.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\pkbrrjghsob\wpz1ech5whh.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\10er2ukvs5s\jmteshhqeft.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\gcnyb5vr5p2\wgch3erdnam.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\cmgxwfzk05o\b3scmy3cq42.exe',''); QuarantineFile('C:\Program Files\BQS2UWQAAN\ME6RA4RZQ.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\n1wohevtfru\evvknplcrf2.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\figushqqtd4\3narnuzzj2x.exe',''); QuarantineFile('C:\Program Files\FXQQZR4WLB\FXQQZR4WL.exe',''); QuarantineFile('C:\Program Files\FVL9I6B832\FVL9I6B83.exe',''); QuarantineFile('C:\Program Files\1JDM31DTYX\8N18249DS.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\ib3yjsgtkne\t2l043qp0ck.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\t1jhis2xb0p\3h3pzkxoqru.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\5xufqmriklf\jexpfcp23k4.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\1zichfc2otn\aicwpe35i3x.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\jm5crj4hhqk\nj3bba5t01b.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\wzrvs5qgaoa\iu4npqn0toz.exe',''); QuarantineFile('C:\Program Files\4LDG5WTLPN\4LDG5WTLP.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\n4vnjgsf2gl\levrm53cyvl.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\v3vmspqpiva\zbcqzazba21.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\03je5ycgb2q\qbfmt2a52nl.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\g1v2zijvcui\hwwijkodqcw.exe',''); QuarantineFile('C:\Program Files\JXMOIUQ49N\JXMOIUQ49.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\agjgcoearu3\hgmdqgotnyv.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\5sur5igwjfy\gbr5c5noila.exe',''); QuarantineFile('C:\Program Files\O7WLKU1SI3\O7WLKU1SI.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\1egy14jm0oy\l1wsm04emx4.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\is-0QQO6.tmp\testtest.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\ywypa1drigc\pz3e4r4x05k.exe',''); QuarantineFile('C:\Program Files\Synaptics\T2PQFTVYM66UURDY8IS5X\-j7YOcPKMk.exe',''); DeleteFile('C:\Program Files\Synaptics\T2PQFTVYM66UURDY8IS5X\-j7YOcPKMk.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\-j7YOcPKMk.exe','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1161096','command'); DeleteFile('C:\Users\User\AppData\Roaming\ywypa1drigc\pz3e4r4x05k.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Temp\is-0QQO6.tmp\testtest.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1201617','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1248525','command'); DeleteFile('C:\Users\User\AppData\Roaming\1egy14jm0oy\l1wsm04emx4.exe','32'); DeleteFile('C:\Program Files\O7WLKU1SI3\O7WLKU1SI.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\12N9LABUIDBYOGO','command'); DeleteFile('C:\Users\User\AppData\Roaming\5sur5igwjfy\gbr5c5noila.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\131034','command'); DeleteFile('C:\Users\User\AppData\Roaming\agjgcoearu3\hgmdqgotnyv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1692896','command'); DeleteFile('C:\Program Files\JXMOIUQ49N\JXMOIUQ49.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1TKFYF4JVNNJ2QU','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2116588','command'); DeleteFile('C:\Users\User\AppData\Roaming\g1v2zijvcui\hwwijkodqcw.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\03je5ycgb2q\qbfmt2a52nl.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2728672','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3252035','command'); DeleteFile('C:\Users\User\AppData\Roaming\v3vmspqpiva\zbcqzazba21.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\n4vnjgsf2gl\levrm53cyvl.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3952447','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3FYM7HD9W038QJ3','command'); DeleteFile('C:\Program Files\4LDG5WTLPN\4LDG5WTLP.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\wzrvs5qgaoa\iu4npqn0toz.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4500208','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4686206','command'); DeleteFile('C:\Users\User\AppData\Roaming\jm5crj4hhqk\nj3bba5t01b.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\1zichfc2otn\aicwpe35i3x.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\485371','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5351520','command'); DeleteFile('C:\Users\User\AppData\Roaming\5xufqmriklf\jexpfcp23k4.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\t1jhis2xb0p\3h3pzkxoqru.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5519585','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\563179','command'); DeleteFile('C:\Users\User\AppData\Roaming\ib3yjsgtkne\t2l043qp0ck.exe','32'); DeleteFile('C:\Program Files\1JDM31DTYX\8N18249DS.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5C5C9SJ6358355U','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5KP2RYT2Y6SSM03','command'); DeleteFile('C:\Program Files\FVL9I6B832\FVL9I6B83.exe','32'); DeleteFile('C:\Program Files\FXQQZR4WLB\FXQQZR4WL.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5T7WP4STTMN946V','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6079783','command'); DeleteFile('C:\Users\User\AppData\Roaming\figushqqtd4\3narnuzzj2x.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\n1wohevtfru\evvknplcrf2.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6484369','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6R02IV5WH872ZHW','command'); DeleteFile('C:\Program Files\BQS2UWQAAN\ME6RA4RZQ.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\cmgxwfzk05o\b3scmy3cq42.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7302964','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7546850','command'); DeleteFile('C:\Users\User\AppData\Roaming\gcnyb5vr5p2\wgch3erdnam.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\10er2ukvs5s\jmteshhqeft.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8669562','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8713926','command'); DeleteFile('C:\Users\User\AppData\Roaming\pkbrrjghsob\wpz1ech5whh.exe','32'); DeleteFile('C:\Program Files\8GPVMI29E5\8GPVMI29E.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8RYP3EQI3T3QVQZ','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9399828','command'); DeleteFile('C:\Users\User\AppData\Roaming\j55g5l4orof\4waetqexhpk.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9420334','command'); DeleteFile('C:\Users\User\AppData\Roaming\j2p5lbnuzax\bdhammm3ggd.exe','32'); DeleteFile('C:\Program Files\PII67KMZWG\PII67KMZW.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9XUVCF024498MXC','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9ZHFLK0EYUNFCL8','command'); DeleteFile('C:\Program Files\02FXR5EUE9\02FXR5EUE.exe','32'); DeleteFile('C:\Program Files\9XBPCKEF8O\TQ6QKNG02.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AD3QNHJ1DPL2RWM','command'); DeleteFile('C:\Program Files\5FFIEU19IM\5FFIEU19I.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\B5URN0TWYKYZE42','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BILZ11FB5EE8X6V','command'); DeleteFile('C:\Program Files\3HDAHB8QEP\3HDAHB8QE.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\chrome','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CV2QIA5GRROSH94','command'); DeleteFile('C:\Program Files\ERZ0ARTMY4\ERZ0ARTMY.exe','32'); DeleteFile('C:\Program Files\NR9EI877J8\F5XVHLRFW.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CW7XTB6L2BYIZMJ','command'); DeleteFile('C:\Program Files\S60Q2E2G59\S60Q2E2G5.exe','32'); DeleteFile('C:\Program Files\YALEX7D26Y\YALEX7D26.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IE7FY2LEWLFKR3P','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OGMMBA2CF0I9ZZT','command'); DeleteFile('C:\Program Files\PM1G9PIO8N\PM1G9PIO8.exe','32'); DeleteFile('C:\Program Files\Synaptics\T2PQFTVYM66UURDY8IS5X\rxiIeEhC5N.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OMEWPRODUCT_','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\R20XH5TKZIQOXU0','command'); DeleteFile('C:\Program Files\XJGUUPY6LS\A8N93P47L.exe','32'); DeleteFile('C:\Windows\rss\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StillSound','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\u4wlstqifqy','command'); DeleteFile('C:\Program Files (x86)\Booking\12816176.exe','32'); DeleteFile('C:\Program Files\7TN2HJBRS1\7TN2HJBRS.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\U7VQCPOQNFSUKBG','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnHackMe Monitor','command'); DeleteFile('C:\Program Files (x86)\UnHackMe\hackmon.exe','32'); DeleteFile('C:\Program Files\6HDXU3W0XN\6HDXU3W0X.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\W85JW11PHOFSRDT','command'); DeleteFile('C:\Users\User\AppData\Local\Temp\avboost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\woir42pttio','command'); DeleteFile('C:\Program Files\1JP064V2D6\1JP064V2D.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XXITE38EKUZKD42','command'); DeleteFile('C:\WINDOWS\system32\Tasks\UnHackMe Task Scheduler','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Все выполнил, лог прилагаю.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Все выполнил, логи прикрепляю.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: CloseProcesses: Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - \Microsoft\Windows Defender\MP Scheduled Scan -> No File <==== ATTENTION Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - \Microsoft\Windows Defender\MpIdleTask -> No File <==== ATTENTION FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.34.11\npGoogleUpdate3.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.34.11\npGoogleUpdate3.dll [No File] U3 idsvc; no ImagePath U0 Partizan; system32\drivers\Partizan.sys [X] Folder: C:\SUPERDelete 2019-06-14 17:32 - 2019-06-18 15:52 - 000000000 ____D C:\Users\Все пользователи\RegRun 2019-06-14 17:32 - 2019-06-18 15:52 - 000000000 ____D C:\ProgramData\RegRun 2019-06-14 17:31 - 2019-06-23 08:32 - 000000000 ____D C:\Program Files (x86)\UnHackMe 2019-06-14 17:31 - 2019-06-22 21:35 - 000000000 ____D C:\Users\User\Documents\RegRun2 2019-06-12 01:25 - 2019-06-12 01:25 - 000000016 _____ C:\Users\Все пользователи\mntemp 2019-06-12 01:25 - 2019-06-12 01:25 - 000000016 _____ C:\ProgramData\mntemp 2019-05-24 13:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\5xufqmriklf 2019-05-24 13:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\10er2ukvs5s 2019-05-24 12:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\g1v2zijvcui 2019-05-24 12:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\5sur5igwjfy 2019-05-24 12:25 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\wzrvs5qgaoa 2019-05-24 12:25 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\cmgxwfzk05o 2019-05-24 12:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\gcnyb5vr5p2 2019-05-24 12:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\figushqqtd4 2019-05-24 11:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\t1jhis2xb0p 2019-05-24 11:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\agjgcoearu3 2019-05-24 11:25 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\pkbrrjghsob 2019-05-24 11:25 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\j55g5l4orof 2019-05-24 11:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\1egy14jm0oy 2019-05-24 11:05 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\03je5ycgb2q 2019-05-24 10:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\ywypa1drigc 2019-05-24 10:45 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\n1wohevtfru File: C:\ProgramData\lock.dat File: C:\ProgramData\irw.atsd File: C:\ProgramData\ts.dat 2019-05-24 10:24 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\jm5crj4hhqk 2019-05-24 10:24 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\1zichfc2otn 2019-05-24 10:19 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\ib3yjsgtkne 2019-05-24 09:59 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\v3vmspqpiva Folder: C:\ProgramData\MB3Install 2019-05-24 09:39 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\n4vnjgsf2gl 2019-05-24 09:39 - 2019-06-12 01:07 - 000000000 ____D C:\Users\User\AppData\Roaming\j2p5lbnuzax File: C:\Users\User\AppData\Local\karboncalligraphyrc File: C:\Users\User\AppData\Local\kritadisplayrc File: C:\Users\User\AppData\Local\kritarc File: C:\WINDOWS\SYSTEM3LOGARTIZAN.EXE Zip: C:\WINDOWS\SYSTEM3LOGARTIZAN.EXE;C:\WINDOWS\system32\SROF.dll;C:\WINDOWS\SysWOW64\GameManager32.dll File: C:\WINDOWS\system32\SROF.dll File: C:\WINDOWS\SysWOW64\GameManager32.dll ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> No File ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134] AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [134] MSCONFIG\startupreg: -j7YOcPKMk.exe => MSCONFIG\startupreg: 1161096 => MSCONFIG\startupreg: 1201617 => MSCONFIG\startupreg: 1248525 => MSCONFIG\startupreg: 12N9LABUIDBYOGO => MSCONFIG\startupreg: 131034 => MSCONFIG\startupreg: 1692896 => MSCONFIG\startupreg: 1TKFYF4JVNNJ2QU => MSCONFIG\startupreg: 2116588 => MSCONFIG\startupreg: 2728672 => MSCONFIG\startupreg: 3252035 => MSCONFIG\startupreg: 3952447 => MSCONFIG\startupreg: 3FYM7HD9W038QJ3 => MSCONFIG\startupreg: 4500208 => MSCONFIG\startupreg: 4686206 => MSCONFIG\startupreg: 485371 => MSCONFIG\startupreg: 5351520 => MSCONFIG\startupreg: 5519585 => MSCONFIG\startupreg: 563179 => MSCONFIG\startupreg: 5C5C9SJ6358355U => MSCONFIG\startupreg: 5KP2RYT2Y6SSM03 => MSCONFIG\startupreg: 5T7WP4STTMN946V => MSCONFIG\startupreg: 6079783 => MSCONFIG\startupreg: 6484369 => MSCONFIG\startupreg: 6R02IV5WH872ZHW => MSCONFIG\startupreg: 7302964 => MSCONFIG\startupreg: 7546850 => MSCONFIG\startupreg: 8669562 => MSCONFIG\startupreg: 8713926 => MSCONFIG\startupreg: 8RYP3EQI3T3QVQZ => MSCONFIG\startupreg: 9399828 => MSCONFIG\startupreg: 9420334 => MSCONFIG\startupreg: 9XUVCF024498MXC => MSCONFIG\startupreg: 9ZHFLK0EYUNFCL8 => MSCONFIG\startupreg: AD3QNHJ1DPL2RWM => MSCONFIG\startupreg: B5URN0TWYKYZE42 => MSCONFIG\startupreg: BILZ11FB5EE8X6V => MSCONFIG\startupreg: chrome => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 http://mi-ner-nis-de-6.info/cdn-1006.html?t=0.4 MSCONFIG\startupreg: CV2QIA5GRROSH94 => MSCONFIG\startupreg: CW7XTB6L2BYIZMJ => MSCONFIG\startupreg: H2GXSRRDELACMTG => MSCONFIG\startupreg: IE7FY2LEWLFKR3P => MSCONFIG\startupreg: OGMMBA2CF0I9ZZT => MSCONFIG\startupreg: OMEWPRODUCT_ => MSCONFIG\startupreg: R20XH5TKZIQOXU0 => MSCONFIG\startupreg: StillSound => MSCONFIG\startupreg: u4wlstqifqy => MSCONFIG\startupreg: U7VQCPOQNFSUKBG => MSCONFIG\startupreg: UnHackMe Monitor => MSCONFIG\startupreg: W85JW11PHOFSRDT => MSCONFIG\startupreg: woir42pttio => MSCONFIG\startupreg: XXITE38EKUZKD42 => FirewallRules: [{FE0037E2-1AE1-4446-80E3-3F89831730F0}] => (Allow) C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe No File FirewallRules: [{55291421-BEBC-43BD-B88B-62E9A928483F}] => (Allow) C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe No File Reboot: End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделано.
Архив не загружается на форум, пишет, что слишком тяжелый.
Положил на https://dropmefiles.com/6vvCn
Выполните скрипт в uVS:
Код:;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделано. Лог:
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Гугл не пишет о поисковых запросах робота из моей сети.
Проверьте пожалуйста пару дней и сообщите, чтобы я смог закрыть тему как решеную.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Через два дня отпишусь.
- - - - -Добавлено - - - - -
Сейчас опять предупреждает о роботе.
приложите новый лог FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
Уважаемый(ая) Иоганн, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
