Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус. Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\...\MountPoints2: {5f3f6eb4-5012-11ea-99f4-d46a6ab4cb76} - "G:\setup.exe"
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\...\MountPoints2: {646203bc-b066-11e9-99d7-ace2d307c267} - "G:\HiSuiteDownLoader.exe"
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF user.js: detected! => C:\Users\artem\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2020-10-19]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP19.0.0\Bases\klids.sys [X]
2021-01-18 20:56 - 2019-01-16 10:25 - 000000000 ____D C:\ProgramData\ProductData
2021-01-18 20:56 - 2019-01-16 10:23 - 000000000 ____D C:\Users\artem\AppData\Roaming\IObit
2021-01-18 19:58 - 2020-08-16 01:53 - 000000000 __SHD C:\ProgramData\Doctor Web
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and (RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall' or RootPath='SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall')]
WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::[Filename => C:\Users\artem\AppData\Roaming\DriverPack Cloud\triggers\ProgramChange.log][Text => Installed programs changed]
WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::[Filename => C:\Users\artem\AppData\Roaming\DriverPack Cloud\triggers\DeviceChange.log][Text => Device changed: %TargetInstance.Caption% %TargetInstance.DeviceID%]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
FirewallRules: [{F80129F1-0BA2-42B7-A176-9C73B618D8B0}] => (Block) LPort=139
FirewallRules: [{30977ECA-70F5-4E66-949E-BED40BD4B73E}] => (Block) LPort=445
FirewallRules: [{2D345C19-84DE-490E-8A9B-B92D4C811400}] => (Block) LPort=139
FirewallRules: [{0F317434-A0D6-41B4-ABA4-F06B09F50700}] => (Block) LPort=445
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщение от
artem-tsoy
В папке появилось два файла report
А именно без цифры в имени - такого нет?
Папка с дампом больше не появляется?
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
12
Файла без цифр -нет, папка больше не появляется. Спасибо большое, что помогаете мне!
Вложения
Раз проблема решена, будем завершать:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.Загрузите SecurityCheck by glax24 & Severnyj , сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP ) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10 ) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck , например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Junior Member
Вес репутации
12
После перезагрузки на рабочем столе вновь появилась папка с дампом
Вложения
Автологер с его папкой уже удалили? Если да, скачайте заново и запустите. Дождитесь окончания сканирования, затем удалите файлы report с цифрами и выполните скрипт из сообщения №19.
Полученный в результате report.log прикрепите.
Junior Member
Вес репутации
12
Файла report нигде нет, сколько раз не пробовал - не получается. Только тот файл, что я прикрепил.
Вложения
Хорошо, последите будет ли появляться та папка.
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.19.232.1124.0008 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем! .
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u271-windows-i586.exe) .
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
HandBrake 1.2.0 v.1.2.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.2 v.9.2.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC .
Читайте Советы и рекомендации после лечения компьютера.