Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 04.05.2017, 16:14   #21 (permalink)
АлександрВолков
Member
 
Регистрация: 03.05.2017
Сообщений: 27
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

вот лог за 5 дней
Вложения
Тип файла: zip eea_logs.zip (684.0 Кб, 16 просмотров)

Последний раз редактировалось АлександрВолков; 04.05.2017 в 16:24
АлександрВолков вне форума   Ответить с цитированием
Старый 04.05.2017, 16:27   #22 (permalink)
АлександрВолков
Member
 
Регистрация: 03.05.2017
Сообщений: 27
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

за 30 сюда уже не загрузить, превышает макс. допустимый размер
АлександрВолков вне форума   Ответить с цитированием
Старый 04.05.2017, 17:34   #23 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

судя по логу проблема с неожиданной перезагрузкой тянется с 1-2 мая.

Цитата:
"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:11:14 ;
"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:18:06 ;
"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:56:25 ;
"Entry" = "Имя сбойного приложения: lsass.exe, версия: 6.1.7601.23539, отметка времени: 0x57c99284
Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x000000006d7814d5
Идентификатор сбойного процесса: 0x304
Время запуска сбойного приложения: 0x01d2bfe0ea901493
Путь сбойного приложения: C:\Windows\system32\lsass.exe
Путь сбойного модуля: unknown
Код отчета: 2dc48c32-2ef9-11e7-b024-d8cb8a338653" 02/05/2017 05:35:41 ;

"Entry" = "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить компьютер." 02/05/2017 05:35:52 ;
---------------
пробуйте из командной строки, запущенной с правами администратора выполнить проверку целостности системы.

Код:
sfc /scannow
если не поможет, попробуйте откатить систему на момент, когда не было явно этой проблемы. (с неожиданной перезагрузкой системы)
safety вне форума   Ответить с цитированием
Старый 04.05.2017, 17:51   #24 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

судя по карантину проблемы начались с апреля, когда был получен загрузчик
Цитата:
D0EE0DC7D4FD686AEC3FD04368A2CDA4F8FDAC1D.NDF "хттп://23.88.239.3/d/un.rar" "@NAME=Win32/TrojanDownloader.Agent.DIB@TYPE=Trojan@SUSP=mod" 24.04.2017 1877504 bytes
и он стал закачивать в систему майнеры.

Цитата:
A4C4C27962960852B542F25DA9E87F8F13398FA5.NDF "C:\Windows\Temp\Tmp8C91.tmp";"C:\Windows\Temp\Tmp 6562.tmp";"C:\Windows\Temp\Tmp580A.tmp";"C:\Window s\Temp\Tmp501E.tmp";"C:\Windows\Temp\Tmp29D9.tmp"; "C:\Windows\Temp\Tmp133D.tmp";"C:\Windows\Temp\Tmp FA22.tmp";"C:\Windows\Temp\TmpEDF2.tmp";"C:\Window s\Temp\TmpD228.tmp";"C:\Windows\Temp\TmpBAD1.tmp"; "C:\Windows\Temp\TmpA687.tmp";"C:\Windows\Temp\Tmp 901A.tmp";"C:\Windows\Temp\Tmp7A87.tmp";"C:\Window s\Temp\Tmp114A.tmp";"C:\Windows\Temp\TmpF0C0.tmp"; "C:\Windows\Temp\TmpD3FC.tmp";"C:\Windows\Temp\Tmp B70A.tmp";"C:\Windows\Temp\TmpA4C2.tmp";"C:\Window s\Temp\Tmp9529.tmp";"C:\Windows\Temp\Tmp7DD2.tmp"; "C:\Windows\Temp\Tmp69E5.tmp";"C:\Windows\Temp\Tmp 58B6.tmp";"C:\Windows\Temp\Tmp4111.tmp";"C:\Window s\Temp\Tmp293D.tmp";"C:\Windows\Temp\Tmp137C.tmp"; "C:\Windows\Temp\Tmp337.tmp";"C:\Windows\Temp\TmpE B92.tmp";"C:\Windows\Temp\TmpD15E.tmp";"C:\Windows \Temp\TmpBFC1.tmp";"C:\Windows\Temp\TmpD757.tmp";" C:\Windows\Temp\TmpC731.tmp";"C:\Windows\Temp\TmpB 16F.tmp";"C:\Windows\Temp\TmpB96B.tmp";"C:\Windows \Temp\Tmp9F95.tmp";"C:\Windows\Temp\Tmp7940.tmp";" C:\Windows\Temp\Tmp5240.tmp";"C:\Windows\Temp\Tmp3 500.tmp";"C:\Windows\Temp\Tmp2853.tmp";"C:\Windows \Temp\Tmp827.tmp";"C:\Windows\Temp\Tmp53A.tmp";"C: \Windows\Temp\TmpE8A5.tmp";"C:\Windows\Temp\TmpCA7 B.tmp";"C:\Windows\Temp\Tmp9BFC.tmp";"C:\Windows\T emp\Tmp1F10.tmp";"C:\Windows\Temp\TmpFD7D.tmp";"C: \Windows\Temp\Tmp9577.tmp";"C:\Windows\Temp\Tmp841 9.tmp";"C:\Windows\Temp\TmpC0FA.tmp";"C:\Windows\T emp\Tmp118A.tmp";"C:\Windows\Temp\Tmp54A2.tmp";"C: \Windows\Temp\Tmp4294.tmp";"C:\Windows\Temp\Tmp213 F.tmp";"C:\Windows\Temp\Tmp4AA.tmp";"C:\Windows\Te mp\TmpF790.tmp";"C:\Windows\Temp\TmpFB48.tmp";"C:\ Windows\Temp\TmpBE29.tmp";"C:\Windows\Temp\TmpD081 .tmp";"C:\Windows\Temp\TmpB88E.tmp";"C:\Windows\Te mp\TmpB505.tmp";"C:\Windows\Temp\Tmp3184.tmp";"C:\ Windows\Temp\TmpFE35.tmp";"C:\Windows\Temp\Tmp9C77 .tmp";"C:\Windows\Temp\TmpC0D8.tmp";"C:\Windows\Te mp\Tmp9FA2.tmp";"C:\Windows\Temp\Tmp1676.tmp";"C:\ Windows\Temp\Tmp4C84.tmp";"C:\Windows\Temp\Tmp7F18 .tmp";"C:\Windows\Temp\Tmp8742.tmp";"C:\Windows\Te mp\TmpA241.tmp";"C:\Windows\Temp\Tmp799C.tmp";"C:\ Windows\Temp\TmpFD7B.tmp";"C:\Windows\Temp\TmpBE0B .tmp";"C:\Windows\Temp\Tmp96BD.tmp";"C:\Windows\Te mp\Tmp88C9.tmp";"C:\Windows\Temp\Tmp5AC7.tmp";"C:\ Windows\Temp\Tmp4B9A.tmp";"C:\Windows\Temp\Tmp4DEB .tmp";"C:\Windows\Temp\TmpF206.tmp";"C:\Windows\Te mp\TmpB738.tmp";"C:\Windows\Temp\TmpA389.tmp";"C:\ Windows\Temp\Tmp8E06.tmp";"C:\Windows\Temp\Tmp813A .tmp";"C:\Windows\Temp\Tmp5F3A.tmp";"C:\Windows\Te mp\Tmp4CE2.tmp";"C:\Windows\Temp\Tmp3463.tmp";"C:\ Windows\Temp\TmpB8F.tmp";"C:\Windows\Temp\TmpE47F. tmp";"C:\Windows\Temp\TmpCDE4.tmp";"C:\Windows\Tem p\Tmp9CB6.tmp";"C:\Windows\Temp\TmpBFFF.tmp";"C:\W indows\Temp\Tmp70E6.tmp";"C:\Windows\Temp\TmpA242. tmp";"C:\Windows\Temp\Tmp6E57.tmp";"C:\Windows\Tem p\TmpF84E.tmp";"C:\Windows\Temp\Tmp9A37.tmp";"C:\W indows\Temp\Tmp1CCE.tmp";"C:\Windows\Temp\Tmp1F8C. tmp";"C:\Windows\Temp\Tmp79FB.tmp";"C:\Windows\Tem p\Tmp68EB.tmp";"C:\Windows\Temp\Tmp3F0E.tmp";"C:\W indows\Temp\Tmp3ABA.tmp";"C:\Windows\Temp\TmpC405. tmp";"C:\Windows\Temp\TmpE2EA.tmp";"C:\Windows\Tem p\TmpB72A.tmp";"C:\Windows\Temp\Tmp6D8D.tmp";"C:\W indows\Temp\Tmp5433.tmp";"C:\Windows\Temp\Tmp858F. tmp";"C:\Windows\Temp\Tmp491C.tmp";"C:\Windows\Tem p\Tmp4297.tmp";"C:\Windows\Temp\TmpFE4.tmp";"C:\Wi ndows\Temp\Tmp7F8.tmp";"C:\Windows\Temp\Tmp3648.tm p";"C:\Windows\Temp\Tmp1235.tmp";"C:\Windows\Temp\ Tmp87A2.tmp";"C:\Windows\Temp\Tmp113B.tmp";"C:\Win dows\Temp\Tmp7116.tmp";"C:\Windows\Temp\TmpE877.tm p";"C:\Windows\Temp\Tmp3B38.tmp";"C:\Windows\Temp\ TmpD0C2.tmp";"C:\Windows\Temp\Tmp8551.tmp";"C:\Win dows\Temp\TmpFF70.tmp";"C:\Windows\Temp\TmpF746.tm p";"C:\Windows\Temp\Tmp6DAD.tmp";"C:\Windows\Temp\ TmpF073.tmp";"C:\Windows\Temp\TmpB90E.tmp";"C:\Win dows\Temp\Tmp3EA2.tmp";"C:\Windows\Temp\Tmp74D.tmp ";"C:\Windows\Temp\Tmp8C3.tmp";"C:\Windows\Temp\Tm p7F78.tmp";"C:\Windows\Temp\Tmp77DA.tmp";"C:\Windo ws\Temp\Tmp5D2A.tmp";"C:\Windows\Temp\Tmp5482.tmp" ;"C:\Windows\Temp\Tmp46FB.tmp";"C:\Windows\Temp\Tm p1B1B.tmp";"C:\Windows\Temp\TmpF811.tmp";"C:\Windo ws\Temp\TmpF553.tmp";"C:\Windows\Temp\TmpD832.tmp" ;"C:\Windows\Temp\TmpCDD6.tmp";"C:\Windows\Temp\Tm pAF9D.tmp";"C:\Windows\Temp\Tmp9875.tmp";"C:\Windo ws\Temp\Tmp9B61.tmp";"C:\Windows\Temp\Tmp7211.tmp" ;"C:\Windows\Temp\Tmp7922.tmp";"C:\Windows\Temp\Tm p5869.tmp";"C:\Windows\Temp\Tmp3511.tmp";"C:\Windo ws\Temp\Tmp24DB.tmp";"C:\Windows\Temp\Tmp22E8.tmp" ;"C:\Windows\Temp\TmpF840.tmp";"C:\Windows\Temp\Tm pE50E.tmp";"C:\Windows\Temp\TmpDA35.tmp";"C:\Windo ws\Temp\TmpAD8A.tmp";"C:\Windows\Temp\Tmp93A4.tmp" ;"C:\Windows\Temp\Tmp8468.tmp";"C:\Windows\Temp\Tm p6C47.tmp";"C:\Windows\Temp\Tmp6007.tmp";"C:\Windo ws\Temp\Tmp473A.tmp";"C:\Windows\Temp\Tmp3714.tmp" ;"C:\Windows\Temp\Tmp1C25.tmp";"C:\Windows\Temp\Tm pE1F3.tmp";"C:\Windows\Temp\TmpBE5C.tmp";"C:\Windo ws\Temp\TmpAFDB.tmp";"C:\Windows\Temp\TmpABD6.tmp" ;"C:\Windows\Temp\Tmp7C3E.tmp";"C:\Windows\Temp\Tm p705C.tmp";"C:\Windows\Temp\Tmp5EEF.tmp";"C:\Windo ws\Temp\Tmp508D.tmp";"C:\Windows\Temp\Tmp4A94.tmp" ;"C:\Windows\Temp\Tmp2BDE.tmp";"C:\Windows\Temp\Tm pB15.tmp";"C:\Windows\Temp\TmpE55D.tmp";"C:\Window s\Temp\TmpDEC8.tmp";"C:\Windows\Temp\TmpB642.tmp"; "C:\Windows\Temp\Tmp9318.tmp";"C:\Windows\Temp\Tmp 70D9.tmp";"C:\Windows\Temp\Tmp3C62.tmp";"C:\Window s\Temp\TmpD621.tmp";"C:\Windows\Temp\TmpB1CF.tmp"; "C:\Windows\Temp\TmpA5AF.tmp";"C:\Windows\Temp\Tmp 92CB.tmp";"C:\Windows\Temp\Tmp6FFF.tmp";"C:\Window s\Temp\Tmp55CB.tmp";"C:\Windows\Temp\Tmp32B1.tmp"; "C:\Windows\Temp\Tmp26DF.tmp";"C:\Windows\Temp\Tmp FFEF.tmp";"C:\Windows\Temp\TmpE57C.tmp";"C:\Window s\Temp\TmpD65F.tmp";"C:\Windows\Temp\Tmp9F39.tmp"; "C:\Windows\Temp\TmpAACD.tmp";"C:\Windows\Temp\Tmp 496C.tmp";"C:\Windows\Temp\Tmp2CE8.tmp";"C:\Window s\Temp\Tmp12B4.tmp";"C:\Windows\Temp\Tmp4DE.tmp";" C:\Windows\Temp\TmpDE9A.tmp";"C:\Windows\Temp\TmpC D2C.tmp";"C:\Windows\Temp\TmpA80F.tmp";"C:\Windows \Temp\Tmp92DB.tmp";"C:\Windows\Temp\Tmp5EFF.tmp";" C:\Windows\Temp\Tmp4039.tmp";"C:\Windows\Temp\Tmp2 837.tmp";"C:\Windows\Temp\Tmp49AB.tmp";"C:\Windows \Temp\Tmp14D6.tmp";"C:\Windows\Temp\TmpE251.tmp";" C:\Windows\Temp\TmpAF60.tmp";"C:\Windows\Temp\Tmp9 164.tmp";"C:\Windows\Temp\Tmp6391.tmp";"C:\Windows \Temp\Tmp530E.tmp";"C:\Windows\Temp\Tmp39A4.tmp";" C:\Windows\Temp\Tmp226D.tmp";"C:\Windows\Temp\TmpC BB.tmp";"C:\Windows\Temp\TmpFBCA.tmp";"C:\Windows\ Temp\TmpE898.tmp";"C:\Windows\Temp\TmpD5C4.tmp";"C :\Windows\Temp\TmpBF76.tmp";"C:\Windows\Temp\TmpAD 2E.tmp";"C:\Windows\Temp\Tmp99BE.tmp";"C:\Windows\ Temp\Tmp815E.tmp";"C:\Windows\Temp\Tmp6DDE.tmp";"C :\Windows\Temp\Tmp55EB.tmp";"C:\Windows\Temp\TmpF9 E7.tmp";"C:\Windows\Temp\TmpA3C.tmp";"C:\Windows\T emp\Tmp32A.tmp";"C:\Windows\Temp\TmpE030.tmp";"C:\ Windows\Temp\TmpAA80.tmp";"C:\Windows\Temp\Tmp8A44 .tmp";"C:\Windows\Temp\Tmp7685.tmp";"C:\Windows\Te mp\Tmp6288.tmp";"C:\Windows\Temp\Tmp492F.tmp";"C:\ Windows\Temp\Tmp3320.tmp";"C:\Windows\Temp\Tmp1F13 .tmp";"C:\Windows\Temp\TmpEFD.tmp";"C:\Windows\Tem p\TmpF5F1.tmp";"C:\Windows\Temp\TmpE0DC.tmp";"C:\W indows\Temp\TmpE214.tmp";"C:\Windows\Temp\TmpC34E. tmp";"C:\Windows\Temp\TmpA66B.tmp";"C:\Windows\Tem p\Tmp8E78.tmp";"C:\Windows\Temp\Tmp7CAD.tmp";"C:\W indows\Temp\Tmp6650.tmp";"C:\Windows\Temp\Tmp5179. tmp";"C:\Windows\Temp\Tmp367A.tmp";"C:\Windows\Tem p\Tmp1FAF.tmp";"C:\Windows\Temp\Tmp160F.tmp";"C:\W indows\Temp\TmpF861.tmp";"C:\Windows\Temp\TmpEEEF. tmp";"C:\Windows\Temp\TmpC87C.tmp";"C:\Windows\Tem p\TmpB421.tmp";"C:\Windows\Temp\TmpA082.tmp";"C:\W indows\Temp\Tmp907B.tmp";"C:\Windows\Temp\Tmp8EE6. tmp";"C:\Windows\Temp\Tmp62F6.tmp";"C:\Windows\Tem p\Tmp4C0D.tmp";"C:\Windows\Temp\Tmp1B0E.tmp";"C:\W indows\Temp\Tmp608.tmp";"C:\Windows\Temp\TmpD7B8.t mp";"C:\Windows\Temp\TmpAFDE.tmp";"C:\Windows\Temp \Tmp9EAE.tmp" "@NAME=Win32/CoinMiner.AFT@TYPE=Trojan@SUSP=inf" 30.04.2017 1132544 bytes
safety вне форума   Ответить с цитированием
Старый 04.05.2017, 17:55   #25 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

что касается этой записи:
Цитата:
2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E.NDF "хттп://47.88.216.68:8888/test.dat" "@NAME=Win32/Packed.NoobyProtect.L@TYPE=ApplicUnwnt@SUSP=mod" 04.05.2017 1217024 bytes
то здесь непонятно, почему легитимное системное приложение C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE обращается по данному адресу.
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 04.05.2017, 18:20   #26 (permalink)
АлександрВолков
Member
 
Регистрация: 03.05.2017
Сообщений: 27
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

ага, понял. Сканирование на целостность я сделал, нарушений нет. Попробую откат. А с загрузчиком троянов можно как-то бороться, что посоветуете?
АлександрВолков вне форума   Ответить с цитированием
Старый 04.05.2017, 19:45   #27 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

если откатите систему, сделайте новый образ автозапуска, еще раз все проверим.

как бороться: ставим антивирус, желательно с фаерволлом, и регулярным обновлением.
safety вне форума   Ответить с цитированием
Старый 04.05.2017, 20:09   #28 (permalink)
АлександрВолков
Member
 
Регистрация: 03.05.2017
Сообщений: 27
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
ставим антивирус, желательно с фаерволлом, и регулярным обновлением.
да вот ESEТ регулярно обновляется, и неплохо работает( на мой взгляд), и все равно пропустил. Кстати, после отката возникла проблема с обновлением баз антивируса. Вот образ автозапуска
Вложения
Тип файла: 7z PC_2017-05-04_21-01-06.7z (572.5 Кб, 61 просмотров)
АлександрВолков вне форума   Ответить с цитированием
Старый 04.05.2017, 20:17   #29 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %Sys32%\TASKS\CROPHIT
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERNETWORKSERVICE.LOG
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\USERS\33F8~1\APPDATA\LOCAL\TEMP\HYD27BC.TMP.1479053164\HTA\3RDPARTY\FS.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref F:\LENOVO_SUITE.EXE
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
safety вне форума   Ответить с цитированием
Старый 04.05.2017, 23:24   #30 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
2017-04-25 19:22 - 2017-04-25 19:22 - 0005818 _____ () C:\ProgramData\666.exe
Task: {0B9C84BA-F9E1-4C68-9940-12E236412F0A} - \Runtime -> No File <==== ATTENTION
Task: {DCF0805B-A8F3-4B16-987D-98675244E672} - \VKSaverUpdate -> No File <==== ATTENTION
CMD: wevtutil.exe epl System system.evtx
CMD: wevtutil.exe epl Application Application.evtx
CMD: c:\Progra~1\7-Zip\7z.exe a -t7z -mx9 -m0=ppmd:o=32:mem=768m events.7z *.evtx
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в личном сообщении.
Vvvyg на форуме   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 13:01.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.