Решена Анализ логов и удаление подозрительных файлов

[Galaxy]

Приветствую! друг пожаловался на компе,я посмотрел логи avz и HijacThis,написал скрипт в avz,и пофиксил строчки в хиджаке. на Uvs не умею скрипты писать,так уж обошёлся простым удалением из автозапуска подозрительных файлов. однако результатов сильно не дало.Мой друг дуб и ему оченььь сложноо зарегаться на форуме и собрать логи,так уж собираю вместо него логи,да что уж если я всё действия делаю вместо него через Anydesk.

 

[Galaxy]

друг пожаловался на компе

(на майнер)

 

[Galaxy]

P.s я уже чистил HijackThiS

 

[Sandor]

Начинаем с Правил оформления запроса о помощи

 

[Galaxy]

Я же скинул логи, ну если вы настаиваете я соберу через автологер.

 

[Sandor]

Дело не в том, настаиваю я или нет, а в соблюдении правил.

 

[Galaxy]

лог.

 

[regist]

Дело не в том, настаиваю я или нет, а в соблюдении правил.

тем более что в первом сообщение совсем не то что нужно.

 

[Sandor]

Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Перезагрузите компьютер.

Соберите новые логи Farbar.

Опишите - в чём именно выражается подозрение?

 

[Galaxy]

Опишите - в чём именно выражается подозрение?

Когда я смотрел логи HijackThis я увидел список заблокированы сайтов.

 

[Galaxy]

+друг жаловался на торможение и снижение фпс в играх.

 

[Galaxy]

А так же сайты антивирусов закрывались.

 

[Galaxy]

Логи farbar

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Dan\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfpiicmanjoemjafpmfmnmblidmblacd
  C:\Users\Dan\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\Dan\AppData\Local\Google\Chrome\User Data\Default\Extensions\hihfghdmlldhopdjgkodameipnpmnmhn
  C:\Users\Dan\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbcoaoadibjefcnplmmkcmmcicodenep
  CHR HKU\S-1-5-21-543494842-4221935718-1498542762-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  CHR HKU\S-1-5-21-543494842-4221935718-1498542762-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
  CHR HKU\S-1-5-21-543494842-4221935718-1498542762-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac]
  CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [850]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [850]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [850]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [850]
  AlternateDataStreams: C:\Users\Dan\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Dan\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Dan\Application Data:NT2 [850]
  AlternateDataStreams: C:\Users\Dan\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Dan\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Dan\AppData\Roaming:NT2 [850]
  AlternateDataStreams: C:\Users\Dan\AppData\Local\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5968]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Если сохранился отчёт AVbr из этой папки - C:\Users\Dan\Desktop\AV_block_remover\, тоже прикрепите его к следующему сообщению.

 

[Galaxy]

Готово.

 

[Galaxy]

Если сохранился отчёт AVbr из этой папки - C:\Users\Dan\Desktop\AV_block_remover\, тоже прикрепите его к следующему сообщению.

Не сохранился.

 

[Sandor]

Какие-то проблемы наблюдаются в работе системы?

 

[Galaxy]

Какие-то проблемы наблюдаются в работе системы?

Нет,не наблюдаются.

 

[Sandor]

Завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Galaxy]

Спасибо вам большое за помощь.