Добрый день!
Не удаляются нижеследующие угрозы и другие:
MEM:Trojan.Win32.SEPEH.gen
PDM:Exploit.Win32.Generic
Trojan-PSW.Win32.Delf.aidq
Спасибо.
Добрый день!
Не удаляются нижеследующие угрозы и другие:
MEM:Trojan.Win32.SEPEH.gen
PDM:Exploit.Win32.Generic
Trojan-PSW.Win32.Delf.aidq
Спасибо.
Уважаемый(ая) RusL1k, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по первой ссылке из правил) и повторите CollectionLog.Амиго
Амиго удален.
При попытке запустить Autologger по вашей ссылке, программа запускается и через 3-5 секунд закрывается, CollectionLog в папке отсутствует соответсвенно.
Затем решил прогнать систему утилитой DrWeb Cureit, нашлось 28 угроз, к сожалению скрин забыл сделать.
Далее удалось запустить Autologger по вашей ссылке, Collectionlog прикладываю
Это не "моя" ссылка , а первая ссылка в правилах. Вторая (зеркало) дана для случая недоступности по первой.
Можно было просто сообщить, что не запускается Автологер.
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:{Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями Virusnet.info При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := ' восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); RebootWindows(false); end.
После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему сообщению.
Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK....\AutoLogger\CheckBrowserLnk
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Сделайте повторные логи по правилам. (CollectionLog)
Доброе утро!
Логи прикрепил
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
К сожалению по данному пути "C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt" ничего нету.
Приложил скпиншот (первый запуск)
После второго запуска все чисто.
Тогда пока AdwCleaner закройте без очистки.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Прикрепил логи
Учетную запись с правами администратора
удалите.john
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-4261032211-719367702-3605086495-1168\...\MountPoints2: {2d44dfff-f43d-11e7-b2be-7054d29779ee} - F:\HiSuiteDownLoader.exe HKU\S-1-5-21-4261032211-719367702-3605086495-1168\...\MountPoints2: {40f84f4b-59d8-11ea-aa36-7054d29779ee} - G:\HiSuiteDownLoader.exe HKU\S-1-5-21-4261032211-719367702-3605086495-1168\...\MountPoints2: {533c7223-c525-11e8-9ae7-7054d29779ee} - D:\HiSuiteDownLoader.exe HKU\S-1-5-21-4261032211-719367702-3605086495-1168\...\MountPoints2: {6288752c-1f85-11e9-98db-7054d29779ee} - D:\HiSuiteDownLoader.exe HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION GroupPolicyScripts: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-4261032211-719367702-3605086495-1168 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Users\print.AMC\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh C:\Users\print.AMC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne C:\Users\print.AMC\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla C:\Users\print.AMC\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme C:\Users\print.AMC\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url> CHR HKLM-x32\...\Chrome\Extension: [ocdpohohmgmicfejkaeeljlfchjoonfl] CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] 2020-08-11 15:40 - 2020-08-12 12:09 - 000000000 __SHD C:\AdwCleaner 2020-08-11 15:40 - 2020-08-11 19:37 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web 2020-08-11 15:40 - 2020-08-11 19:37 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-08-11 15:40 - 2020-08-11 19:16 - 000000000 __SHD C:\KVRT_Data 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\Norton 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\McAfee 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\grizzly 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\ESET 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\AVAST Software 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\360TotalSecurity 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\ProgramData\360safe 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\SpyHunter 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\ESET 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\Enigma Software Group 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\COMODO 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\Cezurity 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\ByteFence 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\AVG 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files\AVAST Software 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\SpyHunter 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\AVG 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 __SHD C:\Program Files (x86)\360 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 ____D C:\ProgramData\Avira 2020-08-11 15:40 - 2020-08-11 15:40 - 000000000 ____D C:\Program Files\360 2020-08-11 15:39 - 2020-08-11 20:14 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-08-11 15:39 - 2020-08-11 20:14 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-08-11 15:39 - 2020-08-11 20:14 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-08-11 15:39 - 2020-08-11 20:14 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\Users\Все пользователи\Windows 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\Users\Все пользователи\RunDLL 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\ProgramData\Windows 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\ProgramData\RunDLL 2020-08-11 15:39 - 2020-08-11 19:56 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 __SHD C:\Windows\NetworkDistribution 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 __SHD C:\Users\Все пользователи\install 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 __SHD C:\rdp 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 __SHD C:\ProgramData\install 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\Windows\svchost.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\Windows\java.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\Windows\boy.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\ProgramData\script.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\ProgramData\olly.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\ProgramData\lsass2.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\ProgramData\lsass.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ___SH C:\ProgramData\kz.exe 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ____D C:\Windows\speechstracing 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ____D C:\ProgramData\System32 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ____D C:\ProgramData\MB3Install 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ____D C:\ProgramData\Malwarebytes 2020-08-11 15:39 - 2020-08-11 15:39 - 000000000 ____D C:\ProgramData\Indus 2020-08-14 17:12 - 2013-12-26 15:55 - 000000000 __SHD C:\ProgramData\Kaspersky Lab AlternateDataStreams: C:\ProgramData\TEMP:FB1B13D8 [332] FirewallRules: [{DC7EE490-880B-423A-A094-774DE8121BCE}] => (Allow) LPort=15000 FirewallRules: [{EEDEF396-034D-4FA3-8B70-80AA1852E723}] => (Allow) LPort=15001 FirewallRules: [{9BE98395-E656-4F77-863D-9391400649FC}] => (Allow) LPort=2869 FirewallRules: [{6A608EEC-910E-49AD-875C-4C7874C11C0A}] => (Allow) LPort=1900 FirewallRules: [{142393E2-5A41-48E8-925D-09DC968370A3}] => (Allow) LPort=15000 FirewallRules: [{62B415C2-B56F-4F2D-94EE-37E26D58E255}] => (Allow) LPort=15000 FirewallRules: [{EF93EAB7-1365-4611-96F1-0F282B6C04E0}] => (Allow) LPort=15001 FirewallRules: [{3DD6D5E1-E9B6-41EE-AE5C-22229BE7485B}] => (Allow) LPort=15001 FirewallRules: [{4A10A4B9-1C9E-4C7F-85CC-EE7F557D8068}] => (Allow) LPort=3389 FirewallRules: [{886AE6A5-CFDB-4B19-AF89-88CA361C4FC7}] => (Block) LPort=445 FirewallRules: [{580145CE-1F58-4D0B-8060-3CFFCF518FBD}] => (Block) LPort=445 FirewallRules: [{4624BDEA-5EB7-4F12-98A5-FEAA0739D6C6}] => (Block) LPort=139 FirewallRules: [{D844A59A-ABA5-4668-B2DF-FCAD3B285971}] => (Block) LPort=139 FirewallRules: [{37E1E404-B0D7-46B0-9294-F43FCBF698D2}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{4061509E-E88B-4CA6-A98C-F80AE1DD09EA}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] FirewallRules: [{288E9E9D-4E7F-4285-9AFB-631E140C2117}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{D9C7EC7F-734D-4B10-87AD-820097E18287}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{B437DD59-CAF7-4381-A6E1-0D1B34280117}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] FirewallRules: [{2A07B4D5-0987-4B1D-9797-B21F55FA1918}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{6B531B08-49A3-4315-84BE-EAC7E53B30CB}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File FirewallRules: [{68F60F52-CC06-49B3-BDE9-269219BA9E0E}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File FirewallRules: [{7FABDDAC-04FF-48FA-80C3-CECCD34D45A9}] => (Allow) LPort=3389 FirewallRules: [{6779DC62-4B30-4DCB-B43A-9B3D72EDB662}] => (Allow) C:\ProgramData\rundll\system.exe => No File FirewallRules: [{BA46636E-663A-43D0-A3E6-E9ADF00D3F13}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File FirewallRules: [{CE1C924F-3149-4EA5-8298-5921C9A5C27C}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe FirewallRules: [{5F4CCC7D-5940-4B4A-9E57-7322F191F3C7}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe FirewallRules: [{0CC6CDE4-D3D1-472B-B4E1-2A4F310E5D7A}] => (Allow) LPort=9494 FirewallRules: [{A8A8B52E-E7CB-4693-BAFD-341A4BE8CA50}] => (Allow) LPort=9393 FirewallRules: [{1E41B490-857A-4EDD-8134-6D660B58F8DF}] => (Allow) LPort=9494 FirewallRules: [{3128BB7E-8313-44C4-9CCA-26551CEF1225}] => (Allow) LPort=9393 EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Выполнено.
Так же хотелось бы восстановить функцию "восстановление системы из контрольной точки". (выдает ошибку, см.скриншот)
С ремонтом Восстановления вам нужно обратиться на форум, где есть специалисты по восстановлению системы.
AdwCleaner уже должна работать правильно. Покажите последний по дате отчёт сканирования (с символом S в имени файла).
Приложил лог AdwCleaner