11.05.2020, 20:35 | #1 (permalink) |
Member
Регистрация: 11.05.2020
Сообщений: 13
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Проверьте, пожалуйста, файл FRST
|
11.05.2020, 20:35 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Посмотрите похожие топики, может что то проясниться Как создать логи FRST virusinfo_syscure.zip проверьте файл!!!! virusinfo_syscure.zip проверьте файл!!!! |
11.05.2020, 23:25 | #3 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Вообще-то здесь принято начинать с образа автозапуска UVS. A раз уж FRST делайте, то и Addition.txt нужен.
Ладно, пока работаем с тем, что есть. Выделите и скопируйте в буфер обмена следующий код: Код:
Start:: CreateRestorePoint: CloseProcesses: () [File not signed] C:\ProgramData\Windows\rutserv.exe (Microsoft Corporation) [File not signed] C:\ProgramData\RealtekHD\taskhost.exe (Microsoft Corporation) [File not signed] C:\ProgramData\RunDLL\rundll.exe (Microsoft Corporation) [File not signed] C:\ProgramData\RunDLL\system.exe (Microsoft Corporation) [File not signed] C:\ProgramData\WindowsTask\audiodg.exe (Microsoft Corporation) [File not signed] C:\ProgramData\WindowsTask\MicrosoftHost.exe (Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [3027968 2020-05-01] (Realtek Semiconductor) [File not signed] <==== ATTENTION HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe HKLM\Software\...\Winlogon\GPExtensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}] -> Task: {1BDA39F8-3032-418B-9EFB-3D29100E9042} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION Task: {417EE85D-3AFB-4394-B567-855BE4B6EEF7} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe [1767424 2020-04-30] (Microsoft Corporation) [File not signed] <==== ATTENTION Task: {A48B7D74-26C5-4A9D-A69B-A660EB64246B} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-01] (Realtek Semiconductor) [File not signed] <==== ATTENTION Task: {AD547F86-CFF3-4DEB-989B-9A5E75E392AD} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-01] (Realtek Semiconductor) [File not signed] <==== ATTENTION Task: {FA5CEEF2-BEBE-458E-8DDB-498002C23D80} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe [1767424 2020-04-30] (Microsoft Corporation) [File not signed] <==== ATTENTION R2 RManService; C:\ProgramData\Windows\rutserv.exe [1789440 2016-01-23] () [File not signed] R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-05-08] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL) 2020-05-08 23:16 - 2020-05-08 23:16 - 000414736 _____ C:\Windows\Minidump\050820-9250-01.dmp 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\rdp 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\Norton 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\McAfee 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\grizzly 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\ESET 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\AVAST Software 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\360safe 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\SpyHunter 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\ESET 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\Enigma Software Group 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\COMODO 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\Common Files\McAfee 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\Cezurity 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\ByteFence 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\AVG 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files\AVAST Software 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\SpyHunter 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\AVG 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\Program Files (x86)\360 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\KVRT_Data 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 __SHD C:\AdwCleaner 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 ____D C:\ProgramData\Malwarebytes 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 ____D C:\ProgramData\Indus 2020-05-08 00:31 - 2020-05-08 00:31 - 000000000 ____D C:\ProgramData\Avira 2020-05-08 00:30 - 2020-05-11 18:04 - 000000000 __SHD C:\ProgramData\RunDLL 2020-05-08 00:30 - 2020-05-08 00:38 - 000000000 __SHD C:\ProgramData\Setup 2020-05-08 00:30 - 2020-05-08 00:35 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-05-08 00:30 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\Windows 2020-05-08 00:30 - 2020-05-08 00:31 - 000000000 __SHD C:\ProgramData\RealtekHD C:\ProgramData\Windows\rutserv.exe C:\Program Files\RDP Wrapper Reboot: End:: Компьютер будет перезагружен автоматически. Сделайте полный лог FRST с галочкой Addition.txt. |
11.05.2020, 23:57 | #5 (permalink) |
Member
Регистрация: 11.05.2020
Сообщений: 13
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Вроде помогло. Не нагружается. Спасибо большое!!!
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
12.05.2020, 00:43 | #6 (permalink) |
Member
Регистрация: 11.05.2020
Сообщений: 13
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
А Вы можете, хотя бы в кратце(доступным языком, так сказать) объяснить из-за чего такое и как, по возможности, этого избежать. Буду очень благодарен!
|
12.05.2020, 08:19 | #7 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
И что, не смогли сделать?
И я просил сделать новый лог FRST + Addition.txt, для контроля. Как Вы себе заполучили майнер - вспоминайте, что перед этим запускали: кряк, кейген, взломанную игру с торрентов. Кстати ещё и удалённое управление было. Меняйте пароли на важные ресурсы. |
12.05.2020, 15:38 | #9 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Рекомендую удалить Driver Booster.
Выделите и скопируйте в буфер обмена следующий код: Код:
Start:: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X] Virustotal: C:\Users\Дмитрий\Downloads\wargaming_game_center_install_ru_c2kp9zfh4xjo.exe Unlock: C:\Windows\speechstracing Unlock: C:\ProgramData\MB3Install Folder: C:\ProgramData\MB3Install Folder: C:\Windows\speechstracing C:\Windows\speechstracing C:\ProgramData\MB3Install IE trusted site: HKU\S-1-5-21-2243685852-3513698981-1044110011-1001\...\webcompanion.com -> hxxp://webcompanion.com Hosts: FirewallRules: [{A98463C7-7DD5-41C5-AF7F-B5B2EE3AE0E4}] => (Allow) D:\office\IObit\Driver Booster\AutoUpdate.exe => No File FirewallRules: [{46AB2BBF-4268-4250-85CD-34292E3107E3}] => (Allow) D:\office\IObit\Driver Booster\AutoUpdate.exe => No File FirewallRules: [{52FB0CE3-319E-4AA7-BFC5-4E28C68DB0C6}] => (Allow) D:\office\IObit\Driver Booster\AutoUpdate.exe => No File FirewallRules: [{46AB2BBF-4268-4250-85CD-34292E3107E3}] => (Allow) D:\office\IObit\Driver Booster\AutoUpdate.exe => No File FirewallRules: [{52FB0CE3-319E-4AA7-BFC5-4E28C68DB0C6}] => (Allow) D:\office\IObit\Driver Booster\AutoUpdate.exe => No File FirewallRules: [{4DCF4887-6A14-4BDF-8FFB-60839F690161}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{6F47EBBC-B3A7-494A-9ED5-BBC019E5099A}] => (Block) LPort=445 FirewallRules: [{AC3BC9A8-A6D6-440E-83AF-19DABBE0912E}] => (Block) LPort=445 FirewallRules: [{54FDAC4F-5077-472C-B504-3D70E0816F48}] => (Block) LPort=139 FirewallRules: [{876B48B9-B80C-4C7E-A777-B83DBAB629B1}] => (Block) LPort=139 FirewallRules: [{3842B442-977A-4599-A8B1-786A4AC52D22}] => (Allow) LPort=3389 FirewallRules: [{6BE9F85C-E3E7-45FB-8703-D31633287824}] => (Allow) LPort=3389 Reboot: End:: Компьютер будет перезагружен автоматически. |
12.05.2020, 15:56 | #10 (permalink) |
Member
Регистрация: 11.05.2020
Сообщений: 13
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Удалил, как посоветовали.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|