Здравствуйте, просьба помочь с лечением компьютера. Архив в присоединении.
Спасибо
С уважением, Гогин Ф.Н.
Здравствуйте, просьба помочь с лечением компьютера. Архив в присоединении.
Спасибо
С уважением, Гогин Ф.Н.
Уважаемый(ая) PhGogin, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\taskscheduler.exe'); TerminateProcessByName('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); StopService('WinDefender'); QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', ''); QuarantineFile('C:\ProgramData\Logic Cramble\set.exe', ''); QuarantineFile('C:\ProgramData\Snorler\Snorler.exe', ''); QuarantineFile('c:\programdata\taskscheduler.exe', ''); QuarantineFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); QuarantineFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', ''); QuarantineFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', ''); QuarantineFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\WINDOWS\system32\drivers', ''); QuarantineFile('C:\WINDOWS\system32\drivers\Wdf41348.sys', ''); QuarantineFile('c:\windows\windefender.exe', ''); QuarantineFileF('C:\Program Files (x86)\WOkdz', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('C:\Program Files\LE2NTA7RDM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('C:\ProgramData\Riate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0); DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '64'); DeleteFile('C:\ProgramData\Logic Cramble\set.exe', '64'); DeleteFile('C:\ProgramData\Snorler\Snorler.exe', '64'); DeleteFile('c:\programdata\taskscheduler.exe', ''); DeleteFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', '64'); DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '64'); DeleteFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', ''); DeleteFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', '64'); DeleteFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\WINDOWS\rss\csrss.exe', '32'); DeleteFile('C:\WINDOWS\rss\csrss.exe', '64'); DeleteFile('c:\windows\windefender.exe', ''); DeleteFile('C:\WINDOWS\windefender.exe', '64'); DeleteService('backlh'); DeleteService('CloudPrinter'); DeleteService('Snorler'); DeleteService('WinDefender'); DeleteFileMask('C:\Program Files (x86)\WOkdz', '*', true); DeleteFileMask('C:\Program Files\LE2NTA7RDM', '*', true); DeleteFileMask('c:\programdata\cloudprinter', '*', true); DeleteFileMask('c:\programdata\logic cramble', '*', true); DeleteFileMask('C:\ProgramData\Riate', '*', true); DeleteFileMask('c:\programdata\snorler', '*', true); DeleteFileMask('c:\users\phgogin\appdata\local\temp\csrss', '*', true); DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*', true); DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*', true); DeleteFileMask('c:\users\phgogin\appdata\roaming\smart clock', '*', true); DeleteFileMask('c:\users\phgogin\appdata\roaming\syshost', '*', true); DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*', true); DeleteFileMask('c:\windows\rss', '*', true); DeleteDirectory('C:\Program Files (x86)\WOkdz'); DeleteDirectory('C:\Program Files\LE2NTA7RDM'); DeleteDirectory('c:\programdata\cloudprinter'); DeleteDirectory('c:\programdata\logic cramble'); DeleteDirectory('C:\ProgramData\Riate'); DeleteDirectory('c:\programdata\snorler'); DeleteDirectory('c:\users\phgogin\appdata\local\temp\csrss'); DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\GamesDepart'); DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y'); DeleteDirectory('c:\users\phgogin\appdata\roaming\smart clock'); DeleteDirectory('c:\users\phgogin\appdata\roaming\syshost'); DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg'); DeleteDirectory('c:\windows\rss'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '64'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SysInfo'); DeleteSchedulerTask('ScheduledUpdate'); DeleteSchedulerTask('Smart Clock'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Здравствуйте, в присоединении запрашиваемый файл образа автозапуска.
Размер карантина превышает допускаемый размер файла. Присоединить не получилось
С уважением Гогин Ф.Н.
Последний раз редактировалось Vvvyg; 01.06.2020 в 08:51.
Уведомление
Перечитайте, куда надо загружать карантин, и сделайте так, как нужно. Оставляя ссылку на карантин в теме, Вы, фактически распространяете вирусы, подводя под статью себя и форум.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend zoo %SystemDrive%\PROGRAMDATA\TASKSCHEDULER.EXE addsgn 0DC96B47246A4C720BD4AEB164C8E2D9148AFCF689FA1F7885C37014F188714C2317C1573E55C6492B80C442771609454CDFBA211189B7777AAFDCDD80498A31 8 W32.Malware.Gen [Webroot] 7 zoo %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336\411B96CB6336.EXE addsgn 71D16E15176A4C7D8FAAAFB16469038A678A7CCE608F12380EDB467C54D5B2EF23978B5754553CA18BC6846096B54D7A35DF632A69597328A46AACAF8F062176 8 Trojan.Win32.Kepiten.a [Kaspersky] 7 chklst delvir zoo C:\WINDOWS\system32\drivers\Wdf41348.sys delall C:\WINDOWS\system32\drivers\Wdf41348.sys deldir %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336 delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZ2FDWARJEZIXBTUZHQBBHMJ4JEDXFBUIKBPV3BKCIBGU-TSFWCGZMRNVT-1WRFIG7R1NGRVNR7WCMFV8AXFW_YW_ delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZETRJ7ZJC9OYATHNWQHOMGQ_CGDYC27TKRHONA_XUANNFBYYXXNVLFCS-VGLY_TANUYHEBS9IPRGI_ZQN delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\MARKETADVIOR\PYTHON\PYTHONW.EXE delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\SEARCHNEWTAB\PYTHON\PYTHONW.EXE delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE delref LOAD.PYC delnfr deltmp czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Здравствуйте, прошу прощения за ошибку с карантином. Исправился.
В прикреплении требуемый лог-файл.
С уважением, Гогин Ф.Н.
- - - - -Добавлено - - - - -
В присоединении архив с результатами работы FARBAR.
С уважением, Гогин Ф.Н.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> No File <==== ATTENTION Task: {78185CED-C634-400E-B297-5D474A7B14FF} - \KMSAuto -> No File <==== ATTENTION Task: {87046D81-6D66-4A67-AABE-239AE2FD04CF} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION Task: {9CEEF16B-3F8F-4AF4-9B22-8599817BE3E1} - \SamsungMagician -> No File <==== ATTENTION Task: {E5CBFC75-21CF-4F98-A5AE-43BDE8E5B9BD} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION Task: {EB697F1B-1F7E-4C40-B2CD-0ADA9F9F061E} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION "{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service) 2020-05-31 22:04 - 2020-05-31 22:04 - 000000000 ___HD C:\$AV_ASW 2020-05-31 22:02 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Avast Software 2020-05-31 20:54 - 2020-05-31 20:54 - 000655872 _____ (Microsoft Corporation) C:\ProgramData\msvcr90.dll 2020-05-31 20:54 - 2020-05-31 20:54 - 000225280 _____ (Microsoft Corporation) C:\ProgramData\msvcm90.dll 2020-05-31 20:54 - 2020-05-31 20:54 - 000148480 _____ C:\ProgramData\api.dll 2020-05-31 20:30 - 2020-05-31 20:30 - 000000000 ____D C:\Users\PhGogin\AppData\Local\gamesdepart 2020-05-31 20:25 - 2020-05-31 20:25 - 000000000 ____D C:\Users\PhGogin\AppData\Local\PackageStaging 2020-05-31 20:22 - 2020-05-31 20:22 - 001006080 _____ (Digital Wave Ltd ) C:\Users\PhGogin\AppData\Roaming\ndfsr.exe 2020-05-31 20:21 - 2020-05-31 20:25 - 000000000 ____D C:\ProgramData\grf 2020-05-31 20:21 - 2020-05-31 20:21 - 000658944 _____ C:\WINDOWS\system32\V6Bd4jcd.exe.del850836218.del850847968 Virustotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys 2020-05-31 20:20 - 2020-05-31 20:21 - 006562192 ____N C:\WINDOWS\system32\Drivers\Wdf41348.sys 2020-05-31 20:20 - 2020-05-31 20:21 - 000000000 ____D C:\Program Files\Z4XGYEI19M 2020-05-31 20:18 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Snorler 2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ C:\Users\PhGogin\AppData\Local\agent.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ C:\Users\PhGogin\AppData\Local\Bluedom.tst 2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ C:\Users\PhGogin\AppData\Local\Hometough.bin 2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ C:\Users\PhGogin\AppData\Local\installer.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\noah.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\lobby.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ C:\Users\PhGogin\AppData\Local\Config.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ C:\Users\PhGogin\AppData\Local\Donfind.tst 2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ C:\Users\PhGogin\AppData\Local\Main.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000015602 _____ C:\WINDOWS\SysWOW64\findit.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ C:\Users\PhGogin\AppData\Local\md.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\Все пользователи\Snorlers 2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\PhGogin\AppData\Local\app 2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\ProgramData\Snorlers 2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Donfind.exe 2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Bluedom.exe 2020-05-31 20:17 - 2020-05-31 20:29 - 000000000 ____D C:\Users\PhGogin\AppData\Local\inetinfoservice CMD: type C:\ProgramData\TaskScheduler.exe.config 2020-05-18 13:31 - 2020-03-09 19:54 - 000009141 _____ C:\ProgramData\TaskScheduler.exe.config 2020-05-31 16:26 - 2020-05-31 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe 2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ () C:\Users\PhGogin\AppData\Local\agent.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ () C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat 2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.exe 2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.tst 2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ () C:\Users\PhGogin\AppData\Local\Config.xml 2019-02-10 19:22 - 2020-02-16 22:08 - 000008704 _____ () C:\Users\PhGogin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Donfind.exe 2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ () C:\Users\PhGogin\AppData\Local\Donfind.tst 2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ () C:\Users\PhGogin\AppData\Local\Hometough.bin 2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ () C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ () C:\Users\PhGogin\AppData\Local\installer.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\lobby.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ () C:\Users\PhGogin\AppData\Local\Main.dat 2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ () C:\Users\PhGogin\AppData\Local\md.xml 2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\noah.dat ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376] HKU\S-1-5-21-431304957-3998525146-3821332655-1001\...\StartupApproved\Run: => "CloudNet" FirewallRules: [TCP Query User{275A9F7E-5A13-4564-81E9-5EC12726C352}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [UDP Query User{CD2EFEDC-A40C-43B4-AAA5-10F4E686E11B}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [TCP Query User{0DD436B9-F88B-4509-8F22-846CB48503CF}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File FirewallRules: [UDP Query User{87E436B3-343B-436F-9556-93412D08AF2F}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File FirewallRules: [TCP Query User{9FDDC478-CE13-4D57-B0F9-CDEC912788ED}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File FirewallRules: [UDP Query User{9FBE3A7D-0091-444A-89FA-52519E02FE9E}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File FirewallRules: [TCP Query User{03BB6781-E73A-4171-9849-1B8DD3210F32}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File FirewallRules: [UDP Query User{B26A465A-CEC8-4D73-A9C6-257662990197}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File FirewallRules: [TCP Query User{97483F7C-911D-4B20-9A16-7E10B59D6974}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File FirewallRules: [UDP Query User{082EF0DD-89E2-4F5D-B27E-6C45277EBCD0}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File FirewallRules: [TCP Query User{D9B16894-1A73-4B24-B9C4-B2F3D16803B5}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File FirewallRules: [UDP Query User{F518E112-1D7D-4593-861F-DE5078B6BD3D}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File FirewallRules: [TCP Query User{9A45AE07-D42A-40EF-B5C3-828E68543D34}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File FirewallRules: [UDP Query User{C87DE533-DBA0-458E-A5CD-7FD1B176C147}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File FirewallRules: [TCP Query User{36B9F9C0-4ED1-4907-B32F-69B938AFAE49}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File FirewallRules: [UDP Query User{14A00685-2E0E-4A16-92F9-FCD72B72CE29}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File FirewallRules: [TCP Query User{3139DAF6-13B0-4D26-A322-E1909F186C95}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File FirewallRules: [UDP Query User{B73A09EF-D8B6-4EFB-8A62-56F06DAC856F}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File FirewallRules: [TCP Query User{5AC3E95A-A39A-4239-A79E-51A4C4C3A153}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File FirewallRules: [UDP Query User{9DB5FBEA-04DA-4C3A-9BA3-AE549ABD8C61}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File FirewallRules: [TCP Query User{B8D8CE03-D2AB-4F46-B9E5-AFD5A00B0CD3}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File FirewallRules: [UDP Query User{25733C1E-C7D1-4002-9F77-FD83448A976D}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File FirewallRules: [TCP Query User{C1ABAA92-A7A7-43A8-A415-F044567C6D98}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File FirewallRules: [UDP Query User{A77A47FE-2357-46BF-8343-38EE54A04ECD}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File FirewallRules: [{137CC891-8F6C-42D1-915D-D72745EED2C1}] => (Allow) C:\Users\PhGogin\AppData\Roaming\Zoom\bin\airhost.exe => No File FirewallRules: [{E7AF8811-0D58-406A-AD40-7BACC69AD58F}] => (Allow) C:\WINDOWS\rss\csrss.exe => No File FirewallRules: [{781DF721-A030-41DF-B802-7F9528BAE8A7}] => (Allow) C:\Users\PhGogin\AppData\Roaming\411b96cb6336\411b96cb6336\411b96cb6336.exe => No File Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Архив с Log-файлом в присоединении.
С уважением, Гогин Ф.Н.
Пролечите систему с помощью утилиты KVRT.
Файл отчета сканирования приложите в архиве. Должен удалить руткит C:\WINDOWS\system32\Drivers\Wdf41348.sys.
WBR,
Vadim
Файлы отчетов в присоединении.
1. После проверки (более ранний)
2. После перезагрузки и повторной проверки (более поздний).
С уважением, Гогин Ф.Н.
Хорошо, KVRT справился.
Дочистим мусор.
Сделайте новый лог Farbar Recovery Scan Tool/
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Здравствуйте, логи в присоединении.
С уважением Гогин Ф.Н.
Это вчерашний лог Farbar Recovery Scan Tool, нужен новый.
WBR,
Vadim
Скажите, пожалуйста, как очистить папку вложений, чтобы добавить архив?
У меня уже практически использован 1 Мб. А автоматического удаления не происходит
С уважением, Гогин Ф.Н.
WBR,
Vadim
Здравствуйте, лог в присоединении.
С уважением, Гогин Ф.Н.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: 2020-06-02 08:10 - 2020-06-02 08:13 - 000000000 ____D C:\AdwCleaner 2020-06-01 22:01 - 2020-06-01 22:41 - 000000000 ____D C:\KVRT_Data Folder: C:\Users\PhGogin\AppData\Local\CEF Folder: C:\ProgramData\Odc Folder: C:\ProgramData\Nec C:\ProgramData\msvcp90.dll C:\ProgramData\Odc C:\Users\PhGogin\AppData\Local\CEF C:\ProgramData\Nec Virustotal: C:\ProgramData\55.zip C:\ProgramData\55.zip 2020-05-31 16:25 - 2020-05-31 16:31 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\SearchNewTab 2020-05-31 16:25 - 2020-05-31 16:25 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\Python HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\42487457.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\42487457.sys => ""="Driver" HKLM\...\StartupApproved\Run: => "AvastUI.exe" C:\Users\PhGogin\Favorites\Downloads\AutoLogger-test\AutoLogger\AVZ\Quarantine Reboot: End::
Компьютер будет перезагружен автоматически.
Исходная проблема, надеюсь, решена?
WBR,
Vadim
Исходная проблема решена. Спасибо. Архив в присоединении.
Рекомендуете ли вы пользоваться утилитой KVRT в будущем?
С уважением, Гогин Ф.Н.
Рекомендую, хотя всех проблем она не решит.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Здравствуйте, лог в присоединении.
С уважением, Гогин Ф.Н.
Уважаемый(ая) PhGogin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.