Проблема заключается в следующем: антивирус зафиксировал перенаправление на очень подозрительный сайт e1.emxdgt.com.
Сам антивирус этот сайт не особо блокирует, где-то на форумах прочитал что подобная активность связанна скорее всего с деятельностью кейлогера,
находящегося в системе. Сам я кейлоггер не устанавливал - не знаю откуда взялся. Не могу его обнаружить и удалить. Логи прилагаю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alex245, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
U3 avgbdisk; отсутствует ImagePath
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
2021-04-06 11:51 - 2021-04-06 13:28 - 000000000 ____D C:\Program Files (x86)\MalwareFox AntiMalware
2021-04-06 11:51 - 2021-04-06 12:25 - 000019543 _____ C:\Windows\ZAM_Guard.krnl.trace
2021-04-06 11:51 - 2021-04-06 12:13 - 000055458 _____ C:\Windows\ZAM.krnl.trace
2021-04-06 11:51 - 2021-04-06 11:51 - 000000000 ____D C:\Users\Рабочая\AppData\Local\Zemana
2021-04-06 11:51 - 2021-04-06 11:51 - 000000000 ____D C:\Users\Алексей\AppData\Local\Zemana
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->NTEventLogEventConsumer.Name=\"_LogWMIConsumerEvent_\"",Filter="__EventFilter.Name=\"_PersistenceEvent_\"::
WMI:subscription\__FilterToConsumerBinding->NTEventLogEventConsumer.Name=\"_LogWMIProcessCreationEvent_\"",Filter="__EventFilter.Name=\"_ProcessCreationEvent_\"::
WMI:subscription\__EventFilter->_PersistenceEvent_::[Query => SELECT * FROM __InstanceCreationEvent WITHIN 5 Where TargetInstance ISA "__EventConsumer"]
WMI:subscription\__EventFilter->_ProcessCreationEvent_::[Query => SELECT * FROM MSFT_WmiProvider_ExecMethodAsyncEvent_Pre WHERE ObjectPath="Win32_Process" AND MethodName="Create"]
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\NTEventLogEventConsumer->_LogWMIProcessCreationEvent_::
WMI:subscription\NTEventLogEventConsumer->_LogWMIConsumerEvent_::
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Нет файла
Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Нет файла
Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Нет файла
Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Нет файла
FirewallRules: [{20CE1F1C-8C91-4D28-91A8-674910EB755A}] => (Block) LPort=135
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.