Как вариант - с лечащего диска пролечиться, есть шанс, что увидится руткит.
Kaspersky Rescue Disk
Dr.Web LiveDisk
Как вариант - с лечащего диска пролечиться, есть шанс, что увидится руткит.
Kaspersky Rescue Disk
Dr.Web LiveDisk
WBR,
Vadim
Добрый день! Я грузился с DrWeb, безрезультатно. Сейчас попробую еще раз.
Последний раз редактировалось Legossi; 29.09.2021 в 10:22.
DrWeb LiveCD запустился с ошибкой. При сканировании ничего не нашел. Сейчас попробую Касперского.
- - - - -Добавлено - - - - -
Просканировал krd. Нашел 5 троянов, пока не удалял. Вот лог.
Удаляйте всё, но это, скорее всего, не то, с чем боремся.
Давайте такую процедуру сделаем.
Скачайте архив с программой Ventoy, распакуйте архив полностью.
Подготовьте свободную флэшку размером от 4 Гб, всё её содержимое будет стёрто.
Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.
Скачайте образ Hiren’s BootCD PE x64 и скопируйте в корень флэшки с Ventoy.
Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.
Запустите файл start.exe, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.
WBR,
Vadim
Добрый день! Вот ссылка https://files.fm/f/deyb6kyz3
Добрый день! Вот ссылка! https://files.fm/f/deyb6kyz3
Давайте так попробуем.
Скачайте архив с программой Ventoy, распакуйте архив полностью.
Подготовьте свободную флэшку размером от 4 Гб, всё её содержимое будет стёрто.
Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.
Скачайте образ Hiren’s BootCD PE x64 и скопируйте в корень флэшки с Ventoy.
Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.
Запустите файл start.exe из папки Support, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.
WBR,
Vadim
Загрузитесь с Hiren’s BootCD с флэшки, так же, как и в тот раз, запустите start.exe из папки Support, пункт "Выберите каталог Windows" с системой на HDD, в главном меню программы - Скрипты -> выполнить скрипт из файла (сохраните в текстовый файл и поместите в папку с UVS заранее):В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на файлообменник и дайте ссылку в личном сообщении.Код:;uVS v4.11.10 [http://dsrt.dyndns.org:8888] ;Target OS: NTv0.0 v400c delref %Sys32%\VSJITDEBUGGER.EXE delref %SystemDrive%\USERS\VVV\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL dirzoo %SystemDrive%\ProgramData\FileOpen dirzoo %SystemDrive%\ProgramData\cm-lock deldir %SystemDrive%\ProgramData\FileOpen deldir %SystemDrive%\ProgramData\cm-lock deltmp apply czoo
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Добрый день!
Выскакивает ошибка: Текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено".
Запускаю Проверка скрипта.. выдает Неизвестная команда в строке 1
Что делаю не так?
Нет ошибок в скрипте. Сохраните из вложения.
cure1.TXT
WBR,
Vadim
Скрипт прошел, а вот ZOO_ не создался.. есть папка ZOO, но она пустая.
- - - - -Добавлено - - - - -
Спасибо! DrWeb установился.
Лог выполнения скрипта приложите.
И, для контроля, сделайте новый лог FRST.
WBR,
Vadim
Добрый день! Лог ZOO_ почему то не сформировался, а FRST вот.
Лог выполнения скрипта -текстовый файл с именем из даты и времени выполнения в папке с UVS.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: Unlock: C:\ProgramData\Discord Folder: C:\ProgramData\Discord FirewallRules: [{1CE43237-CFDD-4C77-9799-FCE889F1BC9E}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла FirewallRules: [{82D90313-53EC-4712-B1E8-ADC2BF55F8AD}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла AdShield 1.0.0.1 (HKLM-x32\...\{df2155a9-d3aa-4685-a99b-161473cc0132}) (Version: 1.0.0.1 - Limbo Solutions) Hidden FirewallRules: [{DBF4C3BF-1AEB-4E1C-B69A-BBB91C56E1A0}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{83297902-669B-4EE9-AC39-57272D8B42EC}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла Reboot: End::
Компьютер будет перезагружен автоматически.
Удалите приложение AdShield 1.0.0.1, если штатно не выйдет - с помощью Geek Uninstaller Free.
Сообщите, что с проблемами.
WBR,
Vadim
DrWeb установился, спасибо! Вроде все в порядке!
- - - - -Добавлено - - - - -
AdShield 1.0.0.1 удалил с помощью Geek Uninstaller Free
- - - - -Добавлено - - - - -
Спасибо огромное!
Последний Fixlog.txt бы ещё увидеть.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Есть.
Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Вообще, с учётом того, что расширенная поддержка 7-ки закончилась 14.01.2020, систему крайне желательно обновить по полной, через автоматическое обновление, а лучше - с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический патч от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.
Устаревшие версии MS Office имеют незакрытые критические уязвимости.Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Это всё тоже по возможности обновить.VMware Workstation v.12.5.2 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
Foxit Reader v.6.2.1.618 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ v.7 Внимание! Скачать обновления
TeamViewer v.15.19.5 [+]
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
А Java обновить до 8-й версии обязательно, или удалить совсем, если не нужна.Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-x64.exe).
Java 7 Update 21 v.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
Flash Player удалите обязательно:Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.Adobe Flash Player 23 ActiveX v.23.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 19 NPAPI v.19.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Компьютер перезагрузится.
И на этом всё.
WBR,
Vadim
Уважаемый(ая) Legossi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.