• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Самооткрывание Amigo и "торможение" компьютера...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Всем доброго времени суток!
Есть ноутбук с Windows 8.1 и учётной записью без пароля и антивируса. Как итог: "автоматически" при загрузке системы загружается браузер Амиго (причём по нескольку вкладок), там сначала реклама, потом включается какой-то фильм; во время работы браузера запустить какое-либо приложение сложно - при нажатии на ярлыки отклика системы нет. После снятия задачи диспетчером задач какое-то время можно работать, затем все повторяется. Логи во вложении. Просьба посмотреть.

P.S. Есть ли смысл скачать LiveCD Drweb'a или Касперского и, загрузившись с него, пролечить с удалением всей этой заразы и только потом делать логи здесь?
 

Вложения

  • CollectionLog-2017.03.30-11.36.zip
    131 KB · Просмотры: 4

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
смотрю логи
 

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
Здравствуйте,
1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
Код:
MaohaWiFi [20170327]-->C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe
My Web Shield [20160327]-->C:\Program Files\My Web Shield\mwesuninstall.exe uninst=1
Ojtion [20170327]-->MsiExec.exe /I{63FABE20-831D-40D0-A1F8-3373B3C5CC3A}
ScreenUp [2015/11/30 08:45:14]-->C:\Program Files (x86)\ScreenUp\uninst.exe
TablacusApp [2017/03/27 21:02:31]-->C:\Users\marina\AppData\Roaming\TablacusApp\uninstaller.exe
VOF 0.0.1 [2017/03/30 08:07:53]-->C:\Users\marina\AppData\Roaming\VOF\uninstall.exe
vofer [2017/03/30 08:07:48]-->C:\Users\marina\AppData\Roaming\vofer\uninstall.exe
Zaxar Games Browser 4 [20170327]-->"C:\Program Files (x86)\Zaxar\unins000.exe"
水滴精灵 [20170327]-->C:\Program Files (x86)\FlowSprit\uninst.exe
Ace Stream Media 2.1.10.1 [2015/02/21 14:07:59]-->C:\Users\marina\AppData\Roaming\ACEStream\Uninstall.exe

Если следующие программы сами не устанавливали (не используете), то тоже деинсталируйте:
Код:
Unity Web Player [2017/03/27 21:08:46]-->C:\Users\marina\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20170327]-->"C:\Users\marina\AppData\Local\Amigo\Application\54.0.2840.191\Installer\setup.exe" –uninstall

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe');
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamesteam.exe');
 TerminateProcessByName('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('C:\Program Files\65MWD8E9NB\0J345C4SI.exe');
 TerminateProcessByName('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe');
 TerminateProcessByName('c:\programdata\logic cramble\set.exe');
 TerminateProcessByName('c:\programdata\prefssecure\nettrans.exe');
 TerminateProcessByName('c:\programdata\teamviewer_tracer.exe');
 TerminateProcessByName('c:\users\marina\appdata\local\filterstart\filterstart.exe');
 TerminateProcessByName('c:\users\marina\appdata\local\temp\00006493\msiql.exe');
 TerminateProcessByName('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe');
 TerminateProcessByName('c:\windows\syswow64\surfshield.exe');
 SetServiceStart('p1490638519am', 4);
 SetServiceStart('p1490638272am', 4);
 SetServiceStart('MaohaWifiNetPro', 4);
 SetServiceStart('KuaiZipDrive', 4);
 SetServiceStart('flowhlp', 4);
 SetServiceStart('mwescontroller', 4);
 SetServiceStart('ucdrv', 4);
 SetServiceStart('GoogleChromeUpService', 4);
 SetServiceStart('backlh', 4);
 SetServiceStart('surfshieldsrv', 4);
 SetServiceStart('MaohaWifiSvr', 4);
 SetServiceStart('Nettrans', 4);
 SetServiceStart('TeamViewer_Tracer', 4);

 StopService('MaohaWifiNetPro');
 StopService('KuaiZipDrive');
 StopService('flowhlp');
 StopService('backlh');
 StopService('surfshieldsrv');
 StopService('MaohaWifiSvr');
 StopService('Nettrans');
 StopService('TeamViewer_Tracer');
 QuarantineFile('C:\ProgramData\Plusdax\ZathFan.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\Driping.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\TresNix.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\Dripfresh.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Zaamdom.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Ozertough.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Namsoft.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Dalttech.reg','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamesteam.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','');
 QuarantineFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','');
 QuarantineFile('C:\Program Files (x86)\MyMemory\uninstall.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','');
 QuarantineFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','');
 QuarantineFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','');
 QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','');
 QuarantineFile('c:\programdata\teamviewer_tracer.exe','');
 QuarantineFile('c:\windows\syswow64\surfshield.exe','');
 QuarantineFile('c:\programdata\logic cramble\set.exe','');
 QuarantineFile('c:\programdata\prefssecure\nettrans.exe','');
 QuarantineFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','');
 QuarantineFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','');
 QuarantineFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','');
 QuarantineFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','');
 QuarantineFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','');
 QuarantineFile('C:\ProgramData\TeamViewer_Tracer.exe','');
 QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','');
 QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
 QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','');
 QuarantineFile('C:\Program Files (x86)\rfv\uc.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe','');
 QuarantineFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\ProgramData\service.exe','');

DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32');
DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','32');
DeleteFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','32');
DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
DeleteFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','32');
DeleteFile('C:\Program Files (x86)\rfv\uc.exe','32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','32');
DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32');
DeleteFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
DeleteFile('C:\ProgramData\service.exe','32');
 DeleteFile('C:\ProgramData\TeamViewer_Tracer.exe','32');
 DeleteFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','32');
 DeleteFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','32');
 DeleteFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','32');
 DeleteFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','32');
 DeleteFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','32');
 DeleteFile('c:\programdata\prefssecure\nettrans.exe','32');
 DeleteFile('c:\programdata\logic cramble\set.exe','32');
 DeleteFile('c:\windows\syswow64\surfshield.exe','32');
 DeleteFile('c:\programdata\teamviewer_tracer.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','32');
 DeleteFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','32');
 DeleteFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','32');
 DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe ','32');
 DeleteFile('C:\Program Files (x86)\MyMemory\uninstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 DeleteFile('C:\ProgramData\Utatity\Dalttech.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Ozertough.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Zaamdom.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Namsoft.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\TresNix.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\Driping.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\ZathFan.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\Dripfresh.reg','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Current Manifest Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Drolocult Collector','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\KuaiZip_Update','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Language Line Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\mm','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Mucacult Controls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\osTip','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Hotstock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Saotom','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Stringkaybam','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Tipit','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Volttouch','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zun-Tone','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Reasodom','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zimjob','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Kontech','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Translator Line Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\VOF','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\VOF2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\vofer','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer22','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Wujole Verfier','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Zerbas Host','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{7621536D-8B41-4ED7-BF3F-48F8740961E8}','64');
 DeleteService('p1490638519am');
 DeleteService('p1490638272am');
 DeleteService('MaohaWifiNetPro');
 DeleteService('KuaiZipDrive');
 DeleteService('flowhlp');
 DeleteService('mwescontroller');
 DeleteService('ucdrv');
 DeleteService('GoogleChromeUpService');
 DeleteService('backlh');
 DeleteService('surfshieldsrv');
 DeleteService('MaohaWifiSvr');
 DeleteService('Nettrans');
 DeleteService('TeamViewer_Tracer');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6BAL8GIFHQ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ForceUpdateVOF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vofer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CQW2ZW8O0K');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZFPGPMKSZZ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CDManager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osmsg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VOF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Пофиксите в HijackThis следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811600
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQoix51DsdIyU6fO&q={searchTerms}
O1 - Hosts: Reset contents to default

4) Перетащите файл C:\Users\marina\Desktop\AutoLogger\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK (ClearLNK - удаление параметров запуска у ярлыков).

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

5) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.

6) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите утилиту через правую кн. мыши от имени администратора, нажмите кнопку Scan (Сканировать) и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Доброго времени суток!

Спасибо!

Все программы, кроме Амиго, деинсталлированы, скрипт AVZ выполнен, ссылка на quarantine на ящик выслана (т.к. файл получился около 10 Мб, решил его ссылкой на яндекс-диск разместить), перечисленное пофиксено в HJT, лог ClearLNK во вложении, лог Autologger'a тоже, лог AdwCleaner'a прикрепил тоже

P.S. На всякий случай еще раз письмо с quarantine выслал, прикрепив его в теле письма.
 

Вложения

  • ClearLNK-30.03.2017_22-58.log
    9.8 KB · Просмотры: 3
  • CollectionLog-2017.03.30-23.24.zip
    80.9 KB · Просмотры: 2
  • AdwCleaner[S0].txt
    38.8 KB · Просмотры: 2
Последнее редактирование:

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Т.к. это единственный браузер в системе (не portable), который работает (не работает даже IE). Только поэтому. Если рекомендуете и его "грохнуть", без вопросов - бусде... ;-)
 

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Вам знакомы папки ?:
Код:
C:\Update\psgo
C:\ProgramData\RegisterObject
C:\Users\marina\AppData\Roaming\System Tools

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
 SetServiceStart('Kyubey', 4);
 SetServiceStart('prgcnbqc', 4);
 SetServiceStart('flowhlp', 4);
 StopService('Kyubey');
 StopService('flowhlp');
 QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe','');

 DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','32');
 DeleteFile(' C:\Users\marina\Desktop\проги\Ace Player.lnk ','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{845F7DF5-593C-4432-AC8D-8D31D08BAD0A}" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteService('prgcnbqc');
 DeleteService('flowhlp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE',' SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE',' EventMessageFile ');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки ...\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
После окончания сканирования:
- если пока не хотите удалять Amigo, то снимите "галки" со всех объектов, содержащих "amigo";
- то же самое относится к MailRU.
Нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.

4) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Здравствуйте!

Программы не знакомы. Можно и нужно удалять...
Скрипт в AVZ выполнил (кстати, внимательнее, в нем не было begin на первой строке :) )

Карантин на почту выслал.
AdwCleaner отработал, отчет во вложении.
Новые логи Autologger'a сделал...
 

Вложения

  • CollectionLog-2017.03.31-19.51.zip
    77.4 KB · Просмотры: 1
  • AdwCleaner[C0].txt
    46.8 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Деинсталируйте нежелательную программу (через "Программы и компоненты"):
Код:
YAC(Yet Another Cleaner!) [20170216]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc2.exe');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc.exe');
 TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
 SetServiceStart('iSafeService', 4);
 SetServiceStart('iSafeKrnlR3', 4);
 SetServiceStart('iSafeKrnlKit', 4);
 SetServiceStart('iSafeKrnl', 4);
 SetServiceStart('flowhlp', 4);
 SetServiceStart('BitTorrent', 4);
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 StopService('iSafeService');
 StopService('flowhlp');
 StopService('BitTorrent');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vofer.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\LotCof.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vof.exe','');

 QuarantineFileF('C:\Program Files\BitTorrent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Update\psgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Wujole Verfier', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Hotcine', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\system32\log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\MIO', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\MK', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\rfv', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\X2L9QGYN3W', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Ofether', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\65MWD8E9NB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Ckokipy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Mucacult Controls', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Tehelekudied', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\ASLYQIH7AH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Zerbas Host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Cocussajuge', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Qejisyfank', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\ZYCQCEAQU9', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Coepageatovry', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\AUH7GYCAV3', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\MF21417PGM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\GY8JVSGGM5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\EO36PG49NC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Shoccult', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\3FGRAIQ21E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Drolocult Collector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Zerogh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\S0CFGO7YBI', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\EQVM325X0B', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\85DTV5VGUU', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\SYSWOW64\META-INF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Shoccult_', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\TBA1EJEAIX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\N35MMO3NSX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\86HISFYVNT', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\62ILAD7IYX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\2M909TR46L', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\175A2X7WVX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\FKWCOV8QV4', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\FI6USOVZG8', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\VOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\CDManager', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\ForceUpdateVOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\Z8NJX587GN', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\F8DRXRV0X7', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Rewagh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Profiles', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\TMJSHUWUQ0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\R2NGTFXZM6', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Mp3tagApp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\RGOFHE31F0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\9OM4136R5H', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\System Tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\System Tools 8.4.11', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 DeleteFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','32');
 DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vofer.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\LotCof.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vof.exe','32');

 ExecuteFile('schtasks.exe', '/delete /TN " Windows-PG " /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{03CF0014-465D-4625-9983-57E9A3AF3DB3}" /F', 0, 15000, true);

 DeleteService('iSafeService');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlKit');
 DeleteService('flowhlp');
 DeleteService('BitTorrent');

 DeleteFileMask('C:\Program Files\BitTorrent','*', true);
 DeleteFileMask('C:\Update\psgo','*', true);
 DeleteFileMask('C:\Program Files (x86)\Wujole Verfier','*', true);
 DeleteFileMask('c:\program files (x86)\elex-tech','*', true);
 DeleteFileMask('C:\Program Files (x86)\Hotcine','*', true);
 DeleteFileMask('C:\WINDOWS\system32\log','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Elex-tech','*', true);
 DeleteFileMask('C:\Update','*', true);
 DeleteFileMask('C:\Program Files (x86)\MIO','*', true);
 DeleteFileMask('C:\Program Files (x86)\MK','*', true);
 DeleteFileMask('C:\Program Files (x86)\rfv','*', true);
 DeleteFileMask('C:\Program Files\їмС№','*', true);
 DeleteFileMask('C:\Program Files\X2L9QGYN3W','*', true);
 DeleteFileMask('C:\Program Files (x86)\Ofether','*', true);
 DeleteFileMask('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\setupsk','*', true);
 DeleteFileMask('C:\Program Files\65MWD8E9NB','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Ckokipy','*', true);
 DeleteFileMask('C:\Program Files (x86)\Mucacult Controls','*', true);
 DeleteFileMask('C:\Program Files (x86)\Tehelekudied','*', true);
 DeleteFileMask('C:\Program Files\ASLYQIH7AH','*', true);
 DeleteFileMask('C:\Program Files (x86)\Zerbas Host','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Cocussajuge','*', true);
 DeleteFileMask('C:\Program Files (x86)\Qejisyfank','*', true);
 DeleteFileMask('C:\Program Files\ZYCQCEAQU9','*', true);
 DeleteFileMask('C:\Program Files (x86)\Coepageatovry','*', true);
 DeleteFileMask('C:\Program Files\AUH7GYCAV3','*', true);
 DeleteFileMask('C:\Program Files\MF21417PGM','*', true);
 DeleteFileMask('C:\Program Files\GY8JVSGGM5','*', true);
 DeleteFileMask('C:\Program Files\EO36PG49NC','*', true);
 DeleteFileMask('C:\Program Files (x86)\Shoccult','*', true);
 DeleteFileMask('C:\Program Files\3FGRAIQ21E','*', true);
 DeleteFileMask('C:\Program Files (x86)\Drolocult Collector','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Zerogh','*', true);
 DeleteFileMask('C:\Program Files\S0CFGO7YBI','*', true);
 DeleteFileMask('C:\Program Files\EQVM325X0B','*', true);
 DeleteFileMask('C:\Program Files\85DTV5VGUU','*', true);
 DeleteFileMask('C:\WINDOWS\SYSWOW64\META-INF','*', true);
 DeleteFileMask('C:\Program Files (x86)\Shoccult_','*', true);
 DeleteFileMask('C:\Program Files\TBA1EJEAIX','*', true);
 DeleteFileMask('C:\Program Files\N35MMO3NSX','*', true);
 DeleteFileMask('C:\Program Files\86HISFYVNT','*', true);
 DeleteFileMask('C:\Program Files\62ILAD7IYX','*', true);
 DeleteFileMask('C:\Program Files\2M909TR46L','*', true);
 DeleteFileMask('C:\Program Files\175A2X7WVX','*', true);
 DeleteFileMask('C:\Program Files\FKWCOV8QV4','*', true);
 DeleteFileMask('C:\Program Files\FI6USOVZG8','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\VOF','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\CDManager','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\ForceUpdateVOF','*', true);
 DeleteFileMask('C:\Program Files\Z8NJX587GN','*', true);
 DeleteFileMask('C:\Program Files\F8DRXRV0X7','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Rewagh','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Profiles','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','*', true);
 DeleteFileMask('C:\Program Files\TMJSHUWUQ0','*', true);
 DeleteFileMask('C:\Program Files\R2NGTFXZM6','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Mp3tagApp','*', true);
 DeleteFileMask('C:\Program Files\RGOFHE31F0','*', true);
 DeleteFileMask('C:\Program Files\9OM4136R5H','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\System Tools','*', true);
 DeleteFileMask('C:\Program Files (x86)\System Tools 8.4.11','*', true);

 DeleteDirectory('C:\Program Files\BitTorrent');
 DeleteDirectory('C:\Update\psgo');
 DeleteDirectory('C:\Program Files (x86)\Wujole Verfier');
 DeleteDirectory('c:\program files (x86)\elex-tech');
 DeleteDirectory('C:\Program Files (x86)\Hotcine');
 DeleteDirectory('C:\WINDOWS\system32\log');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Elex-tech');
 DeleteDirectory('C:\Update');
 DeleteDirectory('C:\Program Files (x86)\MIO');
 DeleteDirectory('C:\Program Files (x86)\MK');
 DeleteDirectory('C:\Program Files (x86)\rfv');
 DeleteDirectory('C:\Program Files\їмС№');
 DeleteDirectory('C:\Program Files\X2L9QGYN3W');
 DeleteDirectory('C:\Program Files (x86)\Ofether');
 DeleteDirectory('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\setupsk');
 DeleteDirectory('C:\Program Files\65MWD8E9NB');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Ckokipy');
 DeleteDirectory('C:\Program Files (x86)\Mucacult Controls');
 DeleteDirectory('C:\Program Files (x86)\Tehelekudied');
 DeleteDirectory('C:\Program Files\ASLYQIH7AH');
 DeleteDirectory('C:\Program Files (x86)\Zerbas Host');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Cocussajuge');
 DeleteDirectory('C:\Program Files (x86)\Qejisyfank');
 DeleteDirectory('C:\Program Files\ZYCQCEAQU9');
 DeleteDirectory('C:\Program Files (x86)\Coepageatovry');
 DeleteDirectory('C:\Program Files\AUH7GYCAV3');
 DeleteDirectory('C:\Program Files\MF21417PGM');
 DeleteDirectory('C:\Program Files\GY8JVSGGM5');
 DeleteDirectory('C:\Program Files\EO36PG49NC');
 DeleteDirectory('C:\Program Files (x86)\Shoccult');
 DeleteDirectory('C:\Program Files\3FGRAIQ21E');
 DeleteDirectory('C:\Program Files (x86)\Drolocult Collector');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Zerogh');
 DeleteDirectory('C:\Program Files\S0CFGO7YBI');
 DeleteDirectory('C:\Program Files\EQVM325X0B');
 DeleteDirectory('C:\Program Files\85DTV5VGUU');
 DeleteDirectory('C:\WINDOWS\SYSWOW64\META-INF');
 DeleteDirectory('C:\Program Files (x86)\Shoccult_');
 DeleteDirectory('C:\Program Files\TBA1EJEAIX');
 DeleteDirectory('C:\Program Files\N35MMO3NSX');
 DeleteDirectory('C:\Program Files\86HISFYVNT');
 DeleteDirectory('C:\Program Files\62ILAD7IYX');
 DeleteDirectory('C:\Program Files\2M909TR46L');
 DeleteDirectory('C:\Program Files\175A2X7WVX');
 DeleteDirectory('C:\Program Files\FKWCOV8QV4');
 DeleteDirectory('C:\Program Files\FI6USOVZG8');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\VOF');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\CDManager');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\ForceUpdateVOF');
 DeleteDirectory('C:\Program Files\Z8NJX587GN');
 DeleteDirectory('C:\Program Files\F8DRXRV0X7');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Rewagh');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Profiles');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp');
 DeleteDirectory('C:\Program Files\TMJSHUWUQ0');
 DeleteDirectory('C:\Program Files\R2NGTFXZM6');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Mp3tagApp');
 DeleteDirectory('C:\Program Files\RGOFHE31F0');
 DeleteDirectory('C:\Program Files\9OM4136R5H');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\System Tools');
 DeleteDirectory('C:\Program Files (x86)\System Tools 8.4.11');

ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Здравствуйте!

Спасибо!
Программа деинсталлирована.
Логи Autologger'ом сделаны - во вложении. Карантин на почту отправил.

P.S. Поставил firefox и антивирус avira.
 

Вложения

  • CollectionLog-2017.04.01-11.38.zip
    83.3 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
Код:
deskapp [20170331]-->MsiExec.exe /I{6AD06984-E21B-436F-9341-11053320B994}
WinSnare [20170401]-->MsiExec.exe /I{BB26F52E-34C5-4937-9240-471C59CC81E6}

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
 SetServiceStart('Kyubey', 4);
 StopService('Kyubey');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
 QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
 QuarantineFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','');
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\Kyubey ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSnare ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Program Files (x86)\WinSnare(4.4.5)', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSAPSvc ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','32');
 DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
 DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\Kyubey ','*', true);
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSnare ','*', true);
 DeleteFileMask(' C:\Program Files (x86)\WinSnare(4.4.5)','*', true);
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSAPSvc ','*', true);
 DeleteFileMask(' C:\Program Files\їмС№','*', true);
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\Kyubey ');
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSnare ');
 DeleteDirectory(' C:\Program Files (x86)\WinSnare(4.4.5)');
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSAPSvc ');
 DeleteDirectory(' C:\Program Files\їмС№');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE','EventMessageFile');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Здравствуйте!

Спасибо!

Программы перечисленные удалены, скрипт AVZ выполнен, карантин выслан, новые логи во вложении.

P.S. Во время сборов логов Autologger'a после появления предупреждения о запуске IE и Mozilla (м.б. google chrome) не запускается ни тот, ни другой...
 

Вложения

  • CollectionLog-2017.04.01-18.08.zip
    81.8 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
После окончания сканирования, нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C*].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Отметьте галочками Shortcut.txt, Addition.txt
  • Нажмите кнопку Scan.
  • После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении. (Если не помещаются - упакуйте в один архив).
  • Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Спасибо!

Отчет AdwCleaner'a во вложении, как и все отчеты FRST.
 

Вложения

  • AdwCleaner[C2].txt
    5.8 KB · Просмотры: 1
  • Logs_FRST.rar
    34.1 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\MountPoints2: {f966bca8-728b-11e5-bf10-089e01e65d9b} - "D:\LG_PC_Programs.exe"
HKLM\...\Providers\cvu44b6a: C:\Program Files (x86)\Wujole Verfier\local64spl.dll
ShellExecuteHooks: No Name - {1328C5D2-0D5F-11E7-892E-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Rewagh\Gerqataincoepuse.dll -> No File
ShellExecuteHooks: No Name - {9F59D1A2-0D5F-11E7-8B7C-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Zerogh\Phiwitain.dll -> No File
ShellExecuteHooks: No Name - {2CED3980-0D60-11E7-89DE-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Cocussajuge\Bezdomduray.dll -> No File
ShellExecuteHooks: No Name - {7261736E-0E31-11E7-9182-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Ckokipy\Mufagehibeck.dll -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> {E2D91B09-D0C2-4230-B52E-11DAA186D61B} URL =
FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-26] <==== ATTENTION
CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-03-31] <==== ATTENTION
CHR NewTab: Default ->  Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://searche-engine.ru/?ref=mgykk&q={searchTerms}&subId=cmi_chrome
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat [155168 2017-03-27] () [File not signed]
2017-03-31 14:50 - 2017-03-31 14:50 - 00000000 ____D C:\Users\marina\AppData\Local\Hotcine
2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.zaxargamesteam
2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.ZaxarGameBrowser
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ValidateLife
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\TestMenu
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\rightchose
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\LastNews
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ImmediateHelp
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FilterOptions
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FileSystemOptions
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\DateOption
2017-03-27 16:10 - 2017-03-27 16:10 - 00155168 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat
2017-03-27 16:09 - 2017-03-27 16:09 - 00000000 ____D C:\Users\marina\AppData\Local\UCBrowser
2017-03-27 15:18 - 2017-03-27 15:18 - 00000000 ____D C:\Users\marina\AppData\Local\CEF
2017-03-27 15:16 - 2017-03-27 15:16 - 00000857 _____ C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
2017-03-27 15:13 - 2017-04-01 17:57 - 00000000 ____D C:\Program Files\їмС№
2017-03-27 15:02 - 2017-03-27 15:06 - 00000000 ____D C:\Users\marina\AppData\Local\Cherpogh
2017-03-27 13:59 - 2017-03-27 14:10 - 00000000 ____D C:\Users\marina\AppData\Local\Derbitytqosh
2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\Users\Все пользователи\log.ewbt
2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\ProgramData\log.ewbt
2017-03-26 23:53 - 2017-03-26 23:58 - 00000000 ____D C:\Users\marina\AppData\Local\Cheztion
2017-03-26 21:17 - 2017-03-26 22:17 - 00000000 ____D C:\Users\marina\AppData\Local\Ckerwaward
2017-03-26 20:19 - 2017-03-26 20:19 - 00136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
2017-03-26 20:19 - 2017-03-26 20:19 - 00000040 _____ C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
2017-03-26 20:18 - 2017-03-26 20:18 - 01895384 _____ C:\Users\marina\AppData\Roaming\Y-trax.bin
2017-03-26 20:18 - 2017-03-26 20:18 - 01894682 _____ C:\Users\marina\AppData\Roaming\Beta-Ex.tst
2017-03-26 20:16 - 2017-03-26 20:16 - 01894682 _____ C:\Users\marina\AppData\Roaming\LotCof.tst
2017-03-26 20:16 - 2017-03-26 20:16 - 00278509 _____ C:\Users\marina\AppData\Roaming\Toughcom.bin
2017-03-26 20:14 - 2017-03-26 20:14 - 00000040 _____ C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
2017-03-26 20:13 - 2017-03-27 14:20 - 00000040 _____ C:\Users\marina\AppData\Roaming\vof.exe.sha1
2017-03-26 20:09 - 2017-03-27 00:34 - 00000000 ____D C:\Users\marina\AppData\Local\Prermerward
2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\LocalLow\Unity
2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\Local\Unity
2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\Users\Все пользователи\log.ewb
2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\ProgramData\log.ewb
2014-06-07 18:00 - 2014-06-07 18:00 - 6103040 _____ () C:\Program Files (x86)\GUT689D.tmp
2014-07-12 11:42 - 2014-09-18 19:28 - 0684032 ____H () C:\Users\marina\AppData\Roaming\aflbase.db
2014-07-12 12:07 - 2017-02-28 21:41 - 2673664 ____H () C:\Users\marina\AppData\Roaming\base.db
2017-03-26 20:18 - 2017-03-26 20:18 - 1894682 _____ () C:\Users\marina\AppData\Roaming\Beta-Ex.tst
2017-03-26 20:14 - 2017-03-26 20:14 - 0000040 _____ () C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
2017-03-26 20:16 - 2017-03-26 20:16 - 1894682 _____ () C:\Users\marina\AppData\Roaming\LotCof.tst
2017-02-11 20:52 - 2017-02-11 20:52 - 0000018 _____ () C:\Users\marina\AppData\Roaming\RusTV_Setting.ini
2017-03-26 20:19 - 2017-03-26 20:19 - 0136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
2017-03-26 20:16 - 2017-03-26 20:16 - 0278509 _____ () C:\Users\marina\AppData\Roaming\Toughcom.bin
2017-03-26 20:13 - 2017-03-27 14:20 - 0000040 _____ () C:\Users\marina\AppData\Roaming\vof.exe.sha1
2017-03-26 20:19 - 2017-03-26 20:19 - 0000040 _____ () C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
2017-03-26 20:18 - 2017-03-26 20:18 - 1895384 _____ () C:\Users\marina\AppData\Roaming\Y-trax.bin
2017-03-26 20:00 - 2017-03-26 20:01 - 0000335 _____ () C:\Users\marina\AppData\Local\expand.ini
2014-02-11 12:10 - 2014-02-11 12:10 - 0007602 _____ () C:\Users\marina\AppData\Local\Resmon.ResmonCfg
2017-03-30 22:24 - 2017-03-27 16:10 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\marina\AppData\Local\uninst.tmp
2014-09-21 00:28 - 2014-09-21 00:28 - 0000000 _____ () C:\Users\marina\AppData\Local\{44519C00-FC37-4EBB-98A6-539C01AC4173}
2013-09-21 16:54 - 2013-09-21 16:54 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2017-03-30 08:07 - 2017-03-30 08:08 - 0000132 _____ () C:\ProgramData\log.bin
2017-03-26 20:01 - 2017-03-30 08:06 - 0000128 _____ () C:\ProgramData\log.ewb
2017-03-27 01:14 - 2017-03-30 08:06 - 0001366 _____ () C:\ProgramData\log.ewbt
2017-03-30 08:02 - 2017-03-30 08:02 - 0000000 __RSH () C:\Program Files\360
Task: {111DB1A6-B54C-4266-95E0-DF88A8F9CD42} - \Zerbas Host -> No File <==== ATTENTION
Task: {192ACC23-9A7F-4BF2-84FE-4A5B46334988} - \SearchAY -> No File <==== ATTENTION
Task: {1E3ACC19-9759-401F-B44A-3FA79953EF83} - \psv_Stringkaybam -> No File <==== ATTENTION
Task: {2A87428F-BF2D-4A49-B9F6-DA44D03EB88A} - \psv_Kontech -> No File <==== ATTENTION
Task: {46BC9BCE-8426-4FAA-B7B2-B82C0A7CF381} - \ForceUpdateVOF -> No File <==== ATTENTION
Task: {4CE07132-C991-4299-AE21-F422D944275B} - \IQmanager -> No File <==== ATTENTION
Task: {5BBE47E9-AD75-479A-95FB-401949C9395D} - \ForceUpdateVOF2 -> No File <==== ATTENTION
Task: {5FEB1281-F179-42A8-A91C-E055314755AE} - \CDManager2 -> No File <==== ATTENTION
Task: {6DD956C4-0EB0-459B-9CC5-C61FCEAACAF4} - \psv_Zun-Tone -> No File <==== ATTENTION
Task: {7AA1CEB0-5CFC-49FE-9FEE-9215E73142C2} - \Reasodom -> No File <==== ATTENTION
Task: {7D3EE2DF-736E-4EA7-A3E4-D30BA7C4FEF2} - \setupsk_upd -> No File <==== ATTENTION
Task: {8E07AADC-5388-4514-BEE9-B2BC0736D03A} - \setupsk -> No File <==== ATTENTION
Task: {95C75AAD-A0A1-4489-9A55-74B50CF27B0C} - \vofer -> No File <==== ATTENTION
Task: {9724766D-6A4C-4243-A9BE-520DF72B08D1} - \VOF2 -> No File <==== ATTENTION
Task: {9856CA4F-3723-43C8-90EA-C88B06E954E1} - \Drolocult Collector -> No File <==== ATTENTION
Task: {B713A1DA-5DED-47A1-A6FC-0E0CAB5E891C} - \IQmanager2 -> No File <==== ATTENTION
Task: {BA995C4D-8858-40D3-9F4C-155B0761712B} - \psv_Tipit -> No File <==== ATTENTION
Task: {BE4D96BA-3F2E-4A39-8EA0-AF817899A57A} - \{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6} -> No File <==== ATTENTION
Task: {C0675B47-7CFE-486F-BEC8-2878245B7CAB} - \psv_Saotom -> No File <==== ATTENTION
Task: {C5AF8B74-1034-4C25-B7C4-F671AA4AA8E4} - \ekdkbhhhgpgbbhaljkbeihbagmgmeemp -> No File <==== ATTENTION
Task: {D22E77EC-E22F-4C7C-803F-35C08658D907} - \Mucacult Controls -> No File <==== ATTENTION
Task: {D3D91AF9-16A2-4626-846E-2660D0024AD3} - \psv_Volttouch -> No File <==== ATTENTION
Task: {D49D1E24-B25C-4F34-9EA5-5155F0475201} - \{7621536D-8B41-4ED7-BF3F-48F8740961E8} -> No File <==== ATTENTION
Task: {D64E2B13-CD66-4E91-AD0F-4947F7820A7E} - \Wujole Verfier -> No File <==== ATTENTION
Task: {DA4C96DF-6C98-4D93-A585-531444449676} - \psv_Zimjob -> No File <==== ATTENTION
Task: {EE6AC920-204F-4C54-A9CF-639CED264205} - \mm -> No File <==== ATTENTION
Task: {F1FBBC5E-1C8A-40EC-A02A-337747806366} - \psv_Hotstock -> No File <==== ATTENTION
Task: {FF76D292-29F4-4CDD-9BE1-BCD4216E95D8} - \Vofer22 -> No File <==== ATTENTION
HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\StartupApproved\Run: => "AceStream"
FirewallRules: [UDP Query User{6A9A68DA-9C22-4149-A083-E6FCEEEC72D5}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{E45491A2-4CFF-4414-A034-DFB6A72A9B52}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{21E33DF5-8FDD-412E-ADDC-35D7DD8537CE}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{9BE2C576-6D6D-4C04-8DF3-048025783F2B}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [{A74A2BF4-89AB-4025-A0F9-F5FAABD384CD}] => (Allow) C:\Users\marina\AppData\Local\Temp\FlowSpritSetup_slnt_5011.exe
FirewallRules: [{47786FCE-1E3B-4A4D-9676-668DE7CCE63C}] => (Allow) C:\Users\marina\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{A5819F97-D9C2-48E8-A24D-A987ACA33EF6}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{434DE563-7E11-427A-8472-0400AEACF62D}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
irewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [{40A51D36-BBD1-42AA-8762-D2FD5F7F827B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
FirewallRules: [{EC5F9AD4-524E-4098-BC0E-EF968ED48B2B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
FirewallRules: [{2532E44D-F6A2-4F2A-B74A-9F842BF8AE3D}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{8AE85321-413E-454B-9125-76DDDAEED96E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\757e690e5adfd328\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk
C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с FRST64.exe.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
2) Подготовьте и приложите повторные логи FRST, как описано в посте #13
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Выполнено. Логи во вложении.
 

Вложения

  • Fixlog.txt
    34.3 KB · Просмотры: 1
  • Logs_FRST_2.rar
    31 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Это ваша папка (содержимое известно) ? - C:\Distr

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CloseProcesses:
R0 flowhlp; system32\drivers\flowhlp.dat [X]
2017-04-01 19:09 - 2017-04-01 20:58 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\4
2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\3
2017-03-31 20:47 - 2017-03-31 20:47 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf
2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\ProgramData\DP45977C.lfl
FirewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [{0A6B20B6-A71C-4BFC-A5E4-647F916E09CA}] => (Allow) C:\Program Files (x86)\Hotcine\Application\chrome.exe
C:\Program Files (x86)\Wujole Verfier
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с FRST64.exe.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

3) Сообщите, какие остаются проблемы ?
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
Да, содержимое папки известно - сам ее создавал...

Лог во вложении.

Проблемы? Перед предыдущими 2 лечениями, кроме не запуска IE и Mozillla (при создании логов AVZ) больше ничего криминального визуально (и по ощущениям) не наблюдал... Думаю, вам виднее :) . У вас логи AVZ, HJT, FRST, AdwCleaner'a, ClearLNK... :)
 

Вложения

  • Fixlog.txt
    2.8 KB · Просмотры: 1

VexMD

Активный пользователь
Сообщения
802
Реакции
163
Баллы
273
1) Понаблюдайте сегодня - завтра и пришлите контрольные логи FRST.

2) Пока проверим уязвимости системы:
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите через правую кнопку мыши - Запустить от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck, то не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое этого файла в свое следующее сообщение (сам файл можно не выкладывать).
 

Razey

Активный пользователь
Сообщения
674
Реакции
31
Баллы
418
SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
WebSite: www.safezone.cc
DateLog: 01.04.2017 22:19:21
Path starting: C:\Users\marina\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: marina
VersionXML: 4.05is-25.03.2017
___________________________________________________________________________

Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 21.02.2015 20:31:36
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: 0
Системный диск: C: ФС: [NTFS] Емкость: [450.2 Гб] Занято: [416.1 Гб] Свободно: [34.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18618
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-04-01 12:35:40
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Avira Antivirus (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avira Antivirus (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avira Antivirus v.15.0.25.172
McAfee WebAdvisor v.4.0.189
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.75813
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
QIP 2005 8098 v.8098
Skype™ 7.16 v.7.16.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 51 v.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 NPAPI v.25.0.0.127
Adobe Flash Player 25 PPAPI v.25.0.0.127
------------------------------- [ Browser ] -------------------------------
Google Chrome v.57.0.2987.133 [+]
Mozilla Firefox 52.0.2 (x86 ru) v.52.0.2 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avira Планировщик (AntiVirSchedulerService) - Служба работает
C:\Program Files (x86)\Avira\Antivirus\sched.exe v.15.0.25.170
Avira Real-Time Protection (AntiVirService) - Служба работает
C:\Program Files (x86)\Avira\Antivirus\avguard.exe v.15.0.25.170
Avira Mail Protection (AntiVirMailService) - Служба остановлена
Avira Web Protection (AntiVirWebService) - Служба остановлена
Avira Service Host (Avira.ServiceHost) - Служба работает
C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe v.1.2.81.41506
C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe v.1.2.81.41506
C:\Program Files (x86)\Avira\Antivirus\avshadow.exe v.15.0.25.172
C:\Program Files (x86)\Avira\Antivirus\avgnt.exe v.15.0.25.170
McAfee SiteAdvisor Service (McAfee SiteAdvisor Service) - Служба работает
C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe v.4.0.2.189
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------


P.S. По поводу контрольных логов FRST - хорошо, пришлю завтра. Пока не закрывайте тему.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу