Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

При открытии Google Chrome каждый раз появляются незнакомые вкладки с вредоносными ссылками [Trojan.Win32.Kepiten.a] (заявка № 225116)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14

    Thumbs up При открытии Google Chrome каждый раз появляются незнакомые вкладки с вредоносными ссылками [Trojan.Win32.Kepiten.a]

    Здравствуйте, просьба помочь с лечением компьютера. Архив в присоединении.
    Спасибо
    С уважением, Гогин Ф.Н.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) PhGogin, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\programdata\taskscheduler.exe');
     TerminateProcessByName('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe');
     TerminateProcessByName('c:\windows\rss\csrss.exe');
     TerminateProcessByName('c:\windows\windefender.exe');
     StopService('WinDefender');
     QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '');
     QuarantineFile('C:\ProgramData\Logic Cramble\set.exe', '');
     QuarantineFile('C:\ProgramData\Snorler\Snorler.exe', '');
     QuarantineFile('c:\programdata\taskscheduler.exe', '');
     QuarantineFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', '');
     QuarantineFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
     QuarantineFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', '');
     QuarantineFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', '');
     QuarantineFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', '');
     QuarantineFile('c:\windows\rss\csrss.exe', '');
     QuarantineFile('C:\WINDOWS\system32\drivers', '');
     QuarantineFile('C:\WINDOWS\system32\drivers\Wdf41348.sys', '');
     QuarantineFile('c:\windows\windefender.exe', '');
     QuarantineFileF('C:\Program Files (x86)\WOkdz', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\Program Files\LE2NTA7RDM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\ProgramData\Riate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
     DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '64');
     DeleteFile('C:\ProgramData\Logic Cramble\set.exe', '64');
     DeleteFile('C:\ProgramData\Snorler\Snorler.exe', '64');
     DeleteFile('c:\programdata\taskscheduler.exe', '');
     DeleteFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', '64');
     DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
     DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '64');
     DeleteFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', '');
     DeleteFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', '64');
     DeleteFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', '64');
     DeleteFile('c:\windows\rss\csrss.exe', '');
     DeleteFile('C:\WINDOWS\rss\csrss.exe', '32');
     DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
     DeleteFile('c:\windows\windefender.exe', '');
     DeleteFile('C:\WINDOWS\windefender.exe', '64');
     DeleteService('backlh');
     DeleteService('CloudPrinter');
     DeleteService('Snorler');
     DeleteService('WinDefender');
     DeleteFileMask('C:\Program Files (x86)\WOkdz', '*', true);
     DeleteFileMask('C:\Program Files\LE2NTA7RDM', '*', true);
     DeleteFileMask('c:\programdata\cloudprinter', '*', true);
     DeleteFileMask('c:\programdata\logic cramble', '*', true);
     DeleteFileMask('C:\ProgramData\Riate', '*', true);
     DeleteFileMask('c:\programdata\snorler', '*', true);
     DeleteFileMask('c:\users\phgogin\appdata\local\temp\csrss', '*', true);
     DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*', true);
     DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*', true);
     DeleteFileMask('c:\users\phgogin\appdata\roaming\smart clock', '*', true);
     DeleteFileMask('c:\users\phgogin\appdata\roaming\syshost', '*', true);
     DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*', true);
     DeleteFileMask('c:\windows\rss', '*', true);
     DeleteDirectory('C:\Program Files (x86)\WOkdz');
     DeleteDirectory('C:\Program Files\LE2NTA7RDM');
     DeleteDirectory('c:\programdata\cloudprinter');
     DeleteDirectory('c:\programdata\logic cramble');
     DeleteDirectory('C:\ProgramData\Riate');
     DeleteDirectory('c:\programdata\snorler');
     DeleteDirectory('c:\users\phgogin\appdata\local\temp\csrss');
     DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\GamesDepart');
     DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y');
     DeleteDirectory('c:\users\phgogin\appdata\roaming\smart clock');
     DeleteDirectory('c:\users\phgogin\appdata\roaming\syshost');
     DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg');
     DeleteDirectory('c:\windows\rss');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '64');
     DeleteSchedulerTask('csrss');
     DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SysInfo');
     DeleteSchedulerTask('ScheduledUpdate');
     DeleteSchedulerTask('Smart Clock');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(2);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Здравствуйте, в присоединении запрашиваемый файл образа автозапуска.
    Размер карантина превышает допускаемый размер файла. Присоединить не получилось

    С уважением Гогин Ф.Н.
    Последний раз редактировалось Vvvyg; 01.06.2020 в 08:51.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    information

    Уведомление

    Перечитайте, куда надо загружать карантин, и сделайте так, как нужно. Оставляя ссылку на карантин в теме, Вы, фактически распространяете вирусы, подводя под статью себя и форум.



    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    icsuspend
    zoo %SystemDrive%\PROGRAMDATA\TASKSCHEDULER.EXE
    addsgn 0DC96B47246A4C720BD4AEB164C8E2D9148AFCF689FA1F7885C37014F188714C2317C1573E55C6492B80C442771609454CDFBA211189B7777AAFDCDD80498A31 8 W32.Malware.Gen [Webroot] 7
    
    zoo %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336\411B96CB6336.EXE
    addsgn 71D16E15176A4C7D8FAAAFB16469038A678A7CCE608F12380EDB467C54D5B2EF23978B5754553CA18BC6846096B54D7A35DF632A69597328A46AACAF8F062176 8 Trojan.Win32.Kepiten.a [Kaspersky] 7
    
    chklst
    delvir
    zoo C:\WINDOWS\system32\drivers\Wdf41348.sys
    delall C:\WINDOWS\system32\drivers\Wdf41348.sys
    deldir %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336
    delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZ2FDWARJEZIXBTUZHQBBHMJ4JEDXFBUIKBPV3BKCIBGU-TSFWCGZMRNVT-1WRFIG7R1NGRVNR7WCMFV8AXFW_YW_
    delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZETRJ7ZJC9OYATHNWQHOMGQ_CGDYC27TKRHONA_XUANNFBYYXXNVLFCS-VGLY_TANUYHEBS9IPRGI_ZQN
    delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\MARKETADVIOR\PYTHON\PYTHONW.EXE
    delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\SEARCHNEWTAB\PYTHON\PYTHONW.EXE
    delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
    delref LOAD.PYC
    delnfr
    deltmp
    czoo
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Здравствуйте, прошу прощения за ошибку с карантином. Исправился.
    В прикреплении требуемый лог-файл.

    С уважением, Гогин Ф.Н.

    - - - - -Добавлено - - - - -

    В присоединении архив с результатами работы FARBAR.

    С уважением, Гогин Ф.Н.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> No File <==== ATTENTION
    Task: {78185CED-C634-400E-B297-5D474A7B14FF} - \KMSAuto -> No File <==== ATTENTION
    Task: {87046D81-6D66-4A67-AABE-239AE2FD04CF} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
    Task: {9CEEF16B-3F8F-4AF4-9B22-8599817BE3E1} - \SamsungMagician -> No File <==== ATTENTION
    Task: {E5CBFC75-21CF-4F98-A5AE-43BDE8E5B9BD} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
    Task: {EB697F1B-1F7E-4C40-B2CD-0ADA9F9F061E} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
    "{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION
    HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied)  [File not signed] <==== ATTENTION (Rootkit!/Locked Service)
    2020-05-31 22:04 - 2020-05-31 22:04 - 000000000 ___HD C:\$AV_ASW
    2020-05-31 22:02 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Avast Software
    2020-05-31 20:54 - 2020-05-31 20:54 - 000655872 _____ (Microsoft Corporation) C:\ProgramData\msvcr90.dll
    2020-05-31 20:54 - 2020-05-31 20:54 - 000225280 _____ (Microsoft Corporation) C:\ProgramData\msvcm90.dll
    2020-05-31 20:54 - 2020-05-31 20:54 - 000148480 _____ C:\ProgramData\api.dll
    2020-05-31 20:30 - 2020-05-31 20:30 - 000000000 ____D C:\Users\PhGogin\AppData\Local\gamesdepart
    2020-05-31 20:25 - 2020-05-31 20:25 - 000000000 ____D C:\Users\PhGogin\AppData\Local\PackageStaging
    2020-05-31 20:22 - 2020-05-31 20:22 - 001006080 _____ (Digital Wave Ltd ) C:\Users\PhGogin\AppData\Roaming\ndfsr.exe
    2020-05-31 20:21 - 2020-05-31 20:25 - 000000000 ____D C:\ProgramData\grf
    2020-05-31 20:21 - 2020-05-31 20:21 - 000658944 _____ C:\WINDOWS\system32\V6Bd4jcd.exe.del850836218.del850847968
    Virustotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys
    2020-05-31 20:20 - 2020-05-31 20:21 - 006562192 ____N C:\WINDOWS\system32\Drivers\Wdf41348.sys
    2020-05-31 20:20 - 2020-05-31 20:21 - 000000000 ____D C:\Program Files\Z4XGYEI19M
    2020-05-31 20:18 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Snorler
    2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ C:\Users\PhGogin\AppData\Local\agent.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ C:\Users\PhGogin\AppData\Local\Bluedom.tst
    2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ C:\Users\PhGogin\AppData\Local\Hometough.bin
    2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ C:\Users\PhGogin\AppData\Local\installer.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\noah.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\lobby.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ C:\Users\PhGogin\AppData\Local\Config.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ C:\Users\PhGogin\AppData\Local\Donfind.tst
    2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ C:\Users\PhGogin\AppData\Local\Main.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000015602 _____ C:\WINDOWS\SysWOW64\findit.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ C:\Users\PhGogin\AppData\Local\md.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\Все пользователи\Snorlers
    2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\PhGogin\AppData\Local\app
    2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\ProgramData\Snorlers
    2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Donfind.exe
    2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Bluedom.exe
    2020-05-31 20:17 - 2020-05-31 20:29 - 000000000 ____D C:\Users\PhGogin\AppData\Local\inetinfoservice
    CMD: type C:\ProgramData\TaskScheduler.exe.config
    2020-05-18 13:31 - 2020-03-09 19:54 - 000009141 _____ C:\ProgramData\TaskScheduler.exe.config
    2020-05-31 16:26 - 2020-05-31 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
    2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ () C:\Users\PhGogin\AppData\Local\agent.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ () C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat
    2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.exe
    2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.tst
    2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ () C:\Users\PhGogin\AppData\Local\Config.xml
    2019-02-10 19:22 - 2020-02-16 22:08 - 000008704 _____ () C:\Users\PhGogin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Donfind.exe
    2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ () C:\Users\PhGogin\AppData\Local\Donfind.tst
    2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ () C:\Users\PhGogin\AppData\Local\Hometough.bin
    2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ () C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ () C:\Users\PhGogin\AppData\Local\installer.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\lobby.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ () C:\Users\PhGogin\AppData\Local\Main.dat
    2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ () C:\Users\PhGogin\AppData\Local\md.xml
    2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\noah.dat
    ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
    ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
    ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    HKU\S-1-5-21-431304957-3998525146-3821332655-1001\...\StartupApproved\Run: => "CloudNet"
    FirewallRules: [TCP Query User{275A9F7E-5A13-4564-81E9-5EC12726C352}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File
    FirewallRules: [UDP Query User{CD2EFEDC-A40C-43B4-AAA5-10F4E686E11B}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File
    FirewallRules: [TCP Query User{0DD436B9-F88B-4509-8F22-846CB48503CF}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File
    FirewallRules: [UDP Query User{87E436B3-343B-436F-9556-93412D08AF2F}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File
    FirewallRules: [TCP Query User{9FDDC478-CE13-4D57-B0F9-CDEC912788ED}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File
    FirewallRules: [UDP Query User{9FBE3A7D-0091-444A-89FA-52519E02FE9E}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File
    FirewallRules: [TCP Query User{03BB6781-E73A-4171-9849-1B8DD3210F32}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File
    FirewallRules: [UDP Query User{B26A465A-CEC8-4D73-A9C6-257662990197}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File
    FirewallRules: [TCP Query User{97483F7C-911D-4B20-9A16-7E10B59D6974}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File
    FirewallRules: [UDP Query User{082EF0DD-89E2-4F5D-B27E-6C45277EBCD0}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File
    FirewallRules: [TCP Query User{D9B16894-1A73-4B24-B9C4-B2F3D16803B5}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
    FirewallRules: [UDP Query User{F518E112-1D7D-4593-861F-DE5078B6BD3D}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
    FirewallRules: [TCP Query User{9A45AE07-D42A-40EF-B5C3-828E68543D34}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
    FirewallRules: [UDP Query User{C87DE533-DBA0-458E-A5CD-7FD1B176C147}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
    FirewallRules: [TCP Query User{36B9F9C0-4ED1-4907-B32F-69B938AFAE49}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
    FirewallRules: [UDP Query User{14A00685-2E0E-4A16-92F9-FCD72B72CE29}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
    FirewallRules: [TCP Query User{3139DAF6-13B0-4D26-A322-E1909F186C95}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
    FirewallRules: [UDP Query User{B73A09EF-D8B6-4EFB-8A62-56F06DAC856F}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
    FirewallRules: [TCP Query User{5AC3E95A-A39A-4239-A79E-51A4C4C3A153}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File
    FirewallRules: [UDP Query User{9DB5FBEA-04DA-4C3A-9BA3-AE549ABD8C61}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File
    FirewallRules: [TCP Query User{B8D8CE03-D2AB-4F46-B9E5-AFD5A00B0CD3}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
    FirewallRules: [UDP Query User{25733C1E-C7D1-4002-9F77-FD83448A976D}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
    FirewallRules: [TCP Query User{C1ABAA92-A7A7-43A8-A415-F044567C6D98}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
    FirewallRules: [UDP Query User{A77A47FE-2357-46BF-8343-38EE54A04ECD}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
    FirewallRules: [{137CC891-8F6C-42D1-915D-D72745EED2C1}] => (Allow) C:\Users\PhGogin\AppData\Roaming\Zoom\bin\airhost.exe => No File
    FirewallRules: [{E7AF8811-0D58-406A-AD40-7BACC69AD58F}] => (Allow) C:\WINDOWS\rss\csrss.exe => No File
    FirewallRules: [{781DF721-A030-41DF-B802-7F9528BAE8A7}] => (Allow) C:\Users\PhGogin\AppData\Roaming\411b96cb6336\411b96cb6336\411b96cb6336.exe => No File
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Архив с Log-файлом в присоединении.

    С уважением, Гогин Ф.Н.

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Пролечите систему с помощью утилиты KVRT.
    Файл отчета сканирования приложите в архиве. Должен удалить руткит C:\WINDOWS\system32\Drivers\Wdf41348.sys.
    WBR,
    Vadim

  13. #10
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Файлы отчетов в присоединении.
    1. После проверки (более ранний)
    2. После перезагрузки и повторной проверки (более поздний).

    С уважением, Гогин Ф.Н.

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Хорошо, KVRT справился.
    Дочистим мусор.

    Сделайте новый лог Farbar Recovery Scan Tool/

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  15. #12
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Здравствуйте, логи в присоединении.

    С уважением Гогин Ф.Н.

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Это вчерашний лог Farbar Recovery Scan Tool, нужен новый.
    WBR,
    Vadim

  17. #14
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Скажите, пожалуйста, как очистить папку вложений, чтобы добавить архив?
    У меня уже практически использован 1 Мб. А автоматического удаления не происходит

    С уважением, Гогин Ф.Н.

  18. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    WBR,
    Vadim

  19. #16
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Здравствуйте, лог в присоединении.

    С уважением, Гогин Ф.Н.

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    2020-06-02 08:10 - 2020-06-02 08:13 - 000000000 ____D C:\AdwCleaner
    2020-06-01 22:01 - 2020-06-01 22:41 - 000000000 ____D C:\KVRT_Data
    Folder: C:\Users\PhGogin\AppData\Local\CEF
    Folder: C:\ProgramData\Odc
    Folder: C:\ProgramData\Nec
    C:\ProgramData\msvcp90.dll
    C:\ProgramData\Odc
    C:\Users\PhGogin\AppData\Local\CEF
    C:\ProgramData\Nec
    Virustotal: C:\ProgramData\55.zip
    C:\ProgramData\55.zip
    2020-05-31 16:25 - 2020-05-31 16:31 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\SearchNewTab
    2020-05-31 16:25 - 2020-05-31 16:25 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\Python
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\42487457.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\42487457.sys => ""="Driver"
    HKLM\...\StartupApproved\Run: => "AvastUI.exe"
    C:\Users\PhGogin\Favorites\Downloads\AutoLogger-test\AutoLogger\AVZ\Quarantine
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Исходная проблема, надеюсь, решена?
    WBR,
    Vadim

  21. #18
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Исходная проблема решена. Спасибо. Архив в присоединении.
    Рекомендуете ли вы пользоваться утилитой KVRT в будущем?

    С уважением, Гогин Ф.Н.

  22. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Рекомендую, хотя всех проблем она не решит.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  23. #20
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    11
    Вес репутации
    14
    Здравствуйте, лог в присоединении.

    С уважением, Гогин Ф.Н.
    Вложения Вложения

  • Уважаемый(ая) PhGogin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 13
      Последнее сообщение: 29.07.2016, 13:03
    2. Ответов: 7
      Последнее сообщение: 30.11.2015, 00:11
    3. Ответов: 7
      Последнее сообщение: 13.10.2015, 21:21
    4. Ответов: 19
      Последнее сообщение: 04.05.2015, 18:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00254 seconds with 20 queries