Решена Пользователь john и 2 майнера puzzlemedia и clr_optimization_v4.0.30318_64 II PC
- Сообщения
- 25,059
- Решения
- 5
- Реакции
- 13,702
К одной машине логи
Найденный вчера симптом, на ноутах не работает микрофон, fn клавиша активации микрофона, почему именно она, без понятия
- Сообщения
- 3,879
- Реакции
- 2,430
C:\ProgramData\setup\update.exe заархивируйте с паролем malware123, выложите на DropMeFiles – free one-click file sharing service и пришлите ссылку на скачивание мне в личные сообщения.
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Выполните скрипт в AVZ
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код:
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\Windows\system32\MusNotification.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-3594642607-2537248431-3588776091-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\21.9.2.172\service_update.exe --repair (file missing)Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\programdata\reaitekhd\taskhost.exe');
TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe');
TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
QuarantineFile('C:\ProgramData\setup\update.exe','');
QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
QuarantineFile('c:\programdata\reaitekhd\taskhost.exe','');
QuarantineFile('c:\programdata\windowstask\microsofthost.exe','');
QuarantineFile('c:\programdata\windowstask\audiodg.exe','');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
DeleteFile('C:\ProgramData\setup\update.exe','32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
DeleteFile('c:\programdata\reaitekhd\taskhost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
- Сообщения
- 3,879
- Реакции
- 2,430
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Прошу прощения
- Сообщения
- 3,879
- Реакции
- 2,430
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-04-24 14:38 - 2023-04-24 14:38 - 000000258 __RSH C:\ProgramData\ntuser.pol
Unlock: C:\FRST
Unlock: C:\Program Files\7-Zip
2023-04-13 16:02 - 2023-04-21 10:23 - 000000000 ___HD C:\ProgramData\Windows Tasks Service
2023-04-13 16:02 - 2023-04-21 09:57 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Norton
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\ESET
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\BookManager
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\ProgramData\360safe
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\ESET
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\COMODO
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\ByteFence
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\AVG
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\Program Files (x86)\360
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\KVRT2020_Data
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\KVRT_Data
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 __SHD C:\AdwCleaner
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 ____D C:\Windows\speechstracing
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 ____D C:\Users\konsult\AppData\Roaming\RMS_settings
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 ____D C:\ProgramData\Avira
2023-04-13 16:02 - 2023-04-13 16:02 - 000000000 ____D C:\Program Files (x86)\IObit
2023-04-13 16:01 - 2023-04-25 11:29 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-04-13 16:01 - 2023-04-25 11:17 - 000000000 __SHD C:\ProgramData\Setup
2023-04-13 16:01 - 2023-04-25 10:11 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-04-13 16:01 - 2023-04-13 16:01 - 000000000 __SHD C:\ProgramData\Install
2023-04-13 16:01 - 2023-04-13 16:01 - 000000000 ___HD C:\Users\John
2023-04-13 16:01 - 2023-04-13 16:01 - 000000000 ____D C:\ProgramData\System32
2023-04-13 16:01 - 2023-04-13 16:01 - 000000000 ____D C:\ProgramData\RunDLL
CMD: net user John /delete
FirewallRules: [{599A7C4B-C3CD-481A-B5FB-FF19D7324ABE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{465C5CCB-317D-4681-9240-4ED493D8E351}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{468AD5A2-769F-4D58-ACF7-F3260C38A3CD}] => (Block) LPort=445
FirewallRules: [{5C821D87-CE34-4F01-80BB-9B18A1A2E8FA}] => (Block) LPort=445
FirewallRules: [{775A0643-004F-4D87-8AC6-6F5014F9A9DE}] => (Block) LPort=139
FirewallRules: [{198206E1-73C4-4987-9C53-CE26FC3A9A40}] => (Block) LPort=139
FirewallRules: [{394DCB4C-7C59-489B-A954-3803EEC64A00}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{27ED903E-06A5-431E-9FBF-83039B591F09}] => (Allow) LPort=3389
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Сообщения
- 3,879
- Реакции
- 2,430
Не нужно полностью цитировать выдаваемые Вам рекомендации.
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
- Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
- Прикрепите этот файл в своем следующем сообщении.
Похожие темы
