Собрал лог через AutoLogger, но он получился 1,5 мб и форум не дал его прикрепить. Немного его уменьшил(убрал из него HiJackThis.log и info.txt).
Можно по имеющейся информации понять: сидит что-то в системе или как?
Собрал лог через AutoLogger, но он получился 1,5 мб и форум не дал его прикрепить. Немного его уменьшил(убрал из него HiJackThis.log и info.txt).
Можно по имеющейся информации понять: сидит что-то в системе или как?
Уважаемый(ая) obtim, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выложите в облачное хранилище или на файлообменник в архиве и дайте ссылку.
- - - - -Добавлено - - - - -
Огромный размер логов вызван гигантским размером файла hosts, там прописаны блокировки нехороших ресурсов, но они совершенно не эффективны, т. к. адреса постоянно меняются, и могут тормозить работу в интернете. Предлагаю зачистить hosts.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
WBR,
Vadim
Hosts зачистил. Запустил по новой Autologger. Результат прилагаю: https://dropmefiles.net/ru/cWYvHQRLX
Удалите из вложений первый лог большого размера.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin DeleteFile('C:\Program Files (x86)\Steam\bin\steamservice.exe', '64'); DeleteFile('C:\Users\obtim\AppData\Local\Temp\scoped_dir16768_757283352', '32'); DeleteFile('C:\Users\obtim\AppData\Local\Temp\scoped_dir16768_757283352', '64'); DeleteFile('C:\Users\obtim\appdata\roaming\drpsu\alice\cloud.exe', ''); DeleteFile('C:\Users\obtim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.exe', '64'); DeleteService('cpuz148'); DeleteService('cpuz149'); DeleteService('SANDRA'); DeleteFileMask('c:\users\obtim\appdata\roaming\drpsu', '*', true); DeleteDirectory('c:\users\obtim\appdata\roaming\drpsu'); DelBHO('{C0283C00-AA11-43E4-8C1D-8D28A0C86042}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #3', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #3', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HD Tune Pro', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^obtim^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Update.exe', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
1. Скрипт выполнил
2. После этого еще раз запустил Autologger - лог прикладываю
3. Лог Farbar Recovery Scan Tool так же прикладываю
Последний раз редактировалось obtim; 24.11.2021 в 21:36.
Уведомление
Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: Task: {534147DC-05BE-43A5-A9F9-B7FF9B6B9B68} - System32\Tasks\OInstall => C:\Windows\OInstall.exe /activate (Нет файла) CHR HomePage: Default -> hxxp://search.conduit.com/?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&ISID=ME56D6A80-4E31-4F80-84BB-CFECE76C3B94&SearchSource=55&CUI=&UM=5&UP=SP38EA3694-BC31-4E73-9E3B-4629244AAC64&SSPV= CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено> U4 npcap_wifi; отсутствует ImagePath 2020-01-14 13:08 - 2020-02-10 17:18 - 000000058 _____ () C:\Users\obtim\AppData\Local\WNkfgwlqMtQmSeJjFBcEa3hn9Keyf8LLPdA AlternateDataStreams: C:\Windows:CM_e8476cbaa8c2eac5e3b99250d862baa10892e67a7316cdbf1dcfa42e385a1490 [74] AlternateDataStreams: C:\ProgramData\TEMP:1F8C9007 [147] AlternateDataStreams: C:\ProgramData\TEMP:8EFFFE8D [183] AlternateDataStreams: C:\ProgramData\TEMP:A6A6AC42 [154] AlternateDataStreams: C:\Users\Public\DRM:احتضان [98] BHO: Envy Web Download Hook -> {C0283C00-AA11-43E4-8C1D-8D28A0C86042} -> C:\Program Files\Envy\Plugins\WebHook64.dll => Нет файла BHO-x32: Нет имени -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Нет файла FirewallRules: [{3CD15300-3329-4ED9-9F4A-49A38B0FA18E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла FirewallRules: [{89C432F8-4B05-4B7A-A82E-F8E850379121}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла FirewallRules: [{0DEE90D3-9F2B-4CA1-9F6A-6B82A401A454}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{D576512F-D725-4681-91E4-7BBBE44493ED}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{BD360C82-E8D3-4169-94F5-3440E3566980}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\planets under attack\game.exe => Нет файла FirewallRules: [{0C78100F-72A3-4B11-ADBC-E41B8662E73E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\planets under attack\game.exe => Нет файла FirewallRules: [{2CA24D54-AC5F-4E86-9737-DCAA72353351}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{05E23168-96AD-4D84-A6E8-E0D6DC587C22}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [TCP Query User{D0319E3D-D32D-48B3-B8FC-E2270F781639}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла FirewallRules: [UDP Query User{36612C9F-CC84-485A-9D25-102F11D2DE89}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла FirewallRules: [TCP Query User{528FD854-D102-4102-9161-5B6C0CADA8E9}C:\program files (x86)\manycam\manycam.exe] => (Allow) C:\program files (x86)\manycam\manycam.exe => Нет файла FirewallRules: [UDP Query User{AF24D8C1-B915-4F0B-A162-58FE0E563515}C:\program files (x86)\manycam\manycam.exe] => (Allow) C:\program files (x86)\manycam\manycam.exe => Нет файла FirewallRules: [TCP Query User{9598127D-A0D3-4C76-B788-0FC87BA8AF72}C:\googleportable\app\chrome-bin\chrome.exe] => (Allow) C:\googleportable\app\chrome-bin\chrome.exe => Нет файла FirewallRules: [UDP Query User{0A0C5474-71AF-43EC-9F7F-71098622B1CF}C:\googleportable\app\chrome-bin\chrome.exe] => (Allow) C:\googleportable\app\chrome-bin\chrome.exe => Нет файла FirewallRules: [TCP Query User{AE838255-10E0-48DA-A928-ED354D529319}C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe => Нет файла FirewallRules: [UDP Query User{001457A4-2D0C-418E-B4AD-1F2948780006}C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8.exe => Нет файла FirewallRules: [TCP Query User{8E409B4F-4527-4EAB-A424-FF284D2E07E2}C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe => Нет файла FirewallRules: [UDP Query User{E09BEEF7-12E6-4B95-AE45-A2217CF6B175}C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.18.1208\bin\1cv8c.exe => Нет файла FirewallRules: [TCP Query User{E5051A62-DB0F-439B-9998-C13BBDDD0249}C:\tgsoft_20_03_2020\inviter\start.exe] => (Allow) C:\tgsoft_20_03_2020\inviter\start.exe => Нет файла FirewallRules: [UDP Query User{CD8306BB-14ED-47FC-8BA2-18F5F2FF397F}C:\tgsoft_20_03_2020\inviter\start.exe] => (Allow) C:\tgsoft_20_03_2020\inviter\start.exe => Нет файла FirewallRules: [TCP Query User{5FF535A3-CC38-4F1F-8CE7-DDBA1304295C}C:\corbet\autocorbetcb\autobetfree.exe] => (Allow) C:\corbet\autocorbetcb\autobetfree.exe => Нет файла FirewallRules: [UDP Query User{AC1F77D0-6F8B-4E4E-B304-880E2AAB059B}C:\corbet\autocorbetcb\autobetfree.exe] => (Allow) C:\corbet\autocorbetcb\autobetfree.exe => Нет файла FirewallRules: [{379F7E7E-D7FA-4CDC-A4BE-F3FD7EC0AE0A}] => (Allow) C:\Users\obtim\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{DED2AB5D-6967-4B09-BDCD-AD9605D74A08}] => (Allow) C:\Users\obtim\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{11931482-0D0D-456D-9583-8CD440E0C38A}] => (Allow) c:\Program Files\Nox\bin\Nox.exe => Нет файла FirewallRules: [{91B64B54-3A38-4203-9AB9-2E70098BBEE5}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла FirewallRules: [TCP Query User{BCE3C300-DD80-464F-865F-FF341B1E7216}C:\bet365-scraper-master\main.exe] => (Allow) C:\bet365-scraper-master\main.exe => Нет файла FirewallRules: [UDP Query User{42419ACF-830E-416C-BF10-A6113F08E1BF}C:\bet365-scraper-master\main.exe] => (Allow) C:\bet365-scraper-master\main.exe => Нет файла FirewallRules: [{A7C99888-7812-49D8-AED8-65A1BF18273D}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла FirewallRules: [{885F8F4A-C91E-4C16-9098-7B24551EB7A0}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{EE58BFB5-31C2-43C1-A113-29427800681E}] => (Allow) C:\Users\obtim\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [TCP Query User{29AAF612-6893-4829-B003-95C684C49FF6}C:\program files\longomatch video analysis\longomatch.exe] => (Allow) C:\program files\longomatch video analysis\longomatch.exe => Нет файла FirewallRules: [UDP Query User{2E131E8C-B038-450B-AD84-5746970D6413}C:\program files\longomatch video analysis\longomatch.exe] => (Allow) C:\program files\longomatch video analysis\longomatch.exe => Нет файла Virustotal: C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe File: C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Прикладываю
Последний раз редактировалось obtim; 24.11.2021 в 21:35.
То, что на жёлтом фоне пишут, Вы не читаете, или не воспринимаете?
WBR,
Vadim
Ошибку понял: внес исправления.
Сделайте исправление в FRST с таким кодом:Новый Fixlog.txt прикрепите.Код:Start:: 2021-07-25 11:52 - 2021-07-25 11:52 - 002691072 ___SH () C:\Users\obtim\AppData\Roaming\Microsoft\WindowsUpdate.exe End::
WBR,
Vadim
Сделано: Fixlog.txt
Один неактивный троян найден и удалён, почистили также мусор.
Проблема не вирусная явно.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Сделано
По возможности обновите виртуалки:Обновите 7-zip до релиза 21.06.Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления
VMware Workstation v.12.5.9 Внимание! Скачать обновления
На этом всё.
WBR,
Vadim
Спасибо!
Уважаемый(ая) obtim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.