Созданные ответы форума
-
Сообщения
-
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: Task: {A88F05CB-4238-4DD5-9E8C-D43A8ACE33A5} - System32\Tasks\{EB285259-1BAB-45C1-8362-BB4763EFC029} => pcalua.exe -a "C:\Users\1\Desktop\USB Vibration\7906\install.exe" -d "C:\Users\1\Desktop\USB Vibration\7906" Task: {8F3A4E53-E551-432C-A7FA-9D760A09EE02} - System32\Tasks\{A6EA30CD-42A8-4628-B3E7-E8AAD71ECC11} => C:\Program Files (x86)\QGNA\qGNA.exe AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138] IE trusted site: HKU\S-1-5-21-499251223-1419649254-2723112483-1000\...\localhost -> localhost FF SearchPlugin: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\1wfsbbs5.ASUS\searchplugins\yandex-avast.xml [2016-06-23] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [File not signed] R2 Unchecky; C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe [126568 2015-08-24] (RaMMicHaeL) [File not signed] S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] U3 aafdw72b; C:\Windows\System32\Drivers\aafdw72b.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Запустите FRST, в главном меню поставьте галочку в пункте Addtion.txt, затем нажмите Scan.
По-окончании сканирования будет создано два лога. Пожалуйста приложите их к вашем следующему сообщению.Далее, запустите программу FRST и в окошке Search вставьте
userinit.exe
Нажмите кнопку Seacrh files. Когда поиск завершиться его результаты откроются в Блокноте. Вставьте его содержимое в ваш ответ.
Жду от вас:
1. fixlog.txt
2. frst.txt
3. addition.txt
4. результаты поиска
5. сообщите как сейчас работает компьютерГораздо лучше.
Скачайте программу revo uninstall http://www.revouninstaller.com/start_freeware_download.html
и удалите те программы, которые не удаляются стандартными возможностями Windows.Сбросьте настройки Хрома с значениям по умолчанию, используйте эту инструкцию (шаг 3, с помощью Инструмента очистки Хрома).
Когда закончите, если больше никаких проблем нет, то подождите пару дней. Понаблюдайте за работой компьютера. Затем выполните новое сканирование программой FRST и логи пришлите для анализа. Сделаем дополнительную проверку.
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Нужно проверить ваш компьютер. Пожалуйста выполните эту инструкцию, шаг 2.
Жду от вас два лога, FRST.txt и Additional.txt.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-2769413478-114108295-551258502-500\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\scrnsave.scr [11264 2009-07-14] (Microsoft Corporation) ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Cookies\bago.dll [393712 2016-06-15] () FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\o2vyu7l4.default\searchplugins\google-avast.xml [2016-04-06] FF Extension: Online Games - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\o2vyu7l4.default\Extensions\jid0-RJnyEjyiGjzbBui2er5zHZhzPSE@jetpack.xpi [2016-05-30] R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) S2 ReujosestogleCmmS; "C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmS.xhtm5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S0 aoxxplh; C:\Windows\SysWOW64\drivers\kzpfdjw.sys [61440 2016-06-19] () [File not signed] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-07] () S3 kqemu; C:\Windows\SysWOW64\DRIVERS\kqemu.sys [144622 2015-11-17] () [File not signed] U5 UnlockerDriver5; C:\Program Files\Unlocker\UnlockerDriver5.sys [12352 2010-07-01] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {0910EED5-4DBC-404E-938F-D03D35C079A5} - System32\Tasks\Microsoft\Windows\Wininet\PerfChecker => C:\Users\Администратор\AppData\Local\NanoNet\perfchecker.exe [2016-06-15] () Task: {398BF508-32A0-428D-ACFC-07C87665646A} - System32\Tasks\{115937C6-BCE3-48F0-BDD2-E7E59C25317B} => pcalua.exe -a D:\UpTorrent\Zolotoy_v3\GRUB4DOS.exe -d D:\UpTorrent\Zolotoy_v3 Task: {5E648012-F44F-4CEA-9625-BA37FAC96A2D} - System32\Tasks\Reujosestogle Community => C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmTes.exe Task: {8BC4C26C-4F7E-43FF-8E5E-A44040F872B5} - System32\Tasks\{9B32862F-57E0-4643-8A51-93F040CD36C7} => pcalua.exe -a D:\Downloads\JavaScript.exe -d D:\Downloads Task: {9192318C-8166-4164-B7C6-7F211B17A3FC} - System32\Tasks\{63F21831-5DD8-4356-9B3C-96F9E4DEEE14} => pcalua.exe -a "C:\Users\Администратор\Downloads\Архивы\All_Keys_Alawar_2013\All Keys Alawar\All_keys_Alawar.exe" -d "C:\Users\Администратор\Downloads\Архивы\All_Keys_Alawar_2013\All Keys Alawar" AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138] EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого:
1. выполните новую проверку программой FRST, но перед сканированием, в главном меню поставьте галочку в пункте Addtion.txt, затем нажмите Scan. Оба получившихся лога прикрепите к вашему ответу.
2. Откройте в Панели управления раздел Удаление программ. Внимательно просмотрите весь список, если есть такие, которые вы не устанавливали, то удалите их.
3. В одном из профилей Хрома, 19 июня было установлено много расширений. Это вы сделали ?Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION FF DefaultSearchEngine: Поиск@Mail.Ru FF SelectedSearchEngine: Поиск@Mail.Ru FF Homepage: hxxp://mail.ru/cnt/10445?gp=802851 FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BC9004A1C-2AA0-475F-91E2-3396D880181B%7D&gp=802861 FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-04-22] FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-04-22] FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-04-22] FF Extension: Визуальные закладки @Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-04-22] FF HKU\S-1-5-21-3684166954-4055660895-3776954756-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\User\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=801407" CHR Extension: (The Safe Surfing) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-06-04] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx nointegritychecks: ==> "IntegrityChecks" is disabled. <===== ATTENTION Task: {285C4D6E-46D0-454A-809F-25E5EA025064} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION Task: {52C0B5A0-E26B-45F6-A789-C63FD09FCBE9} - System32\Tasks\PhoenixBrowser Updater => C:\Users\User\AppData\Local\PhoenixBrowserUpdater\PhoenixBrowserUpdater.exe [2015-05-30] () Task: {52E39651-0790-4ABE-8E58-4686255C2C1E} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2015-09-17] (AudioVkontakte.ru) <==== ATTENTION EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST и её лог (FRST.txt) прикрепите к вашему ответу.
Просканируйте свой компьютер используя программу FRST.
Скачайте программу FRST с этой страницы.
Запустите её. Программа автоматически попытается обновить себя, после чего откроется главное окно, показанное ниже.
Ничего не меняйте в настройках, просто нажмите кнопку Scan. Когда сканирование будет завершено откроется блокнот с первым отчетом (frst.txt) не закрывайте его. Чуть позже откроется второй отчёт Addition.txt.
Жду оба отчета.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Сначала расскажите подробнее о вашей проблеме с компьютером.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Активного вируса шифровальщика в системе нет, но нужно немного подчистить компьютер.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe" HKLM-x32\...\Run: [ZaxarGameBrowser] => "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3849351898-2857214220-3509653771-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File S2 gerocyni; C:\Program Files (x86)\C2EA5500-1458045292-81E3-3482-600292184CD6\jnsgB89A.tmp [X] S2 jhi_service; "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe" [X] S2 qewizejuzbt; C:\Program Files (x86)\C2EA5500-1458045292-81E3-3482-600292184CD6\knsg9F98.tmpfs [X] S2 wucotusy; C:\Program Files (x86)\C2EA5500-1458045292-81E3-3482-600292184CD6\hnslD6E5.tmp [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST и её лог прикрепите к вашему ответу.
Так же выполните ещё следующее.
Снова запустите FRST, далее в окошке Search вставьтеuser32.dll
Нажмите кнопку Seacrh files. Когда поиск завершиться его результаты откроются в Блокноте. Вставьте его содержимое в ваш ответ.
И последнее, откройте сайт virustotal.com. Нажмите кнопку Выбрать файл и в открывшемся окне, в поле Имя вставьте текст:
C:\Windows\system32\User32.dll
Нажмите Enter. Файл User32.dll загрузиться на сайт для проверки. Когда проверка закончиться, скопируйте результаты в ваш ответ.
Итак я от вас жду:
1. Лог по результатам лечения компьютера скриптом fixlist
2. Свежий результат сканирования программой FRST
3. Результаты поиска файла user32.dll
4. Результат проверка файла user32.dll на сайте VirusTotalАктивного da_vinci_code вируса в системе сейчас нет.
По поводу восстановления da_vinci_code файлов.
1. Плохо что программы ShadowExplorer и PhotoRec не помогли, хотя в принципе PhotoRec всегда восстанавливает часть файлов. К сожалению, PhotoRec не всегда может восстановить всё то, что нужно 🙁
2. Вспоминайте, где могут быть копии фотографий: одноклассники, вконтакте, dropxbox и тд. Проверьте старые телефоны, фотоаппараты… возможно ещё что-нибудь удастся восстановить.
3. К сожалению, на настоящий момент расшифровщика бесплатного нет, но думаю со временем он появиться. Поэтому, если не получилось восстановить фотографии, то вы их не удаляйте. Скопируйте все файлы, что нужно восстановить в отдельный каталог или на отдельный диск. Туда же скопируйте файл README (это нужно чтобы сохранить ID компьютера, который может понадобиться для расшифровки). Как только появиться дешифровщик, вы сразу восстановите свои файлы.Здравствуйте Екатерина. Добро пожаловать на Spyware-ru форум.
Пожалуйста для начала выполните эту инструкцию шаг 2. Нужно проверить, что ваш компьютер больше не содержит активного вируса da_vinci_code.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Пожалуйста попробуйте ещё раз загрузить HijackThis лог.
Кроме этого, выполните эту инструкцию шаг 2.Логи глянул, теперь нормально 🙂
Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать новые версии их заново.
Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.
3. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
Здравствуйте, Добро пожаловать на Spyware-ru форумы.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3653643934-1529521737-3276700381-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search-time.ru BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3653643934-1529521737-3276700381-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HomePage: Default -> hxxp://www.hohosearch.com/?mode=nnnb&ptid=qca&uid=1988BBF885F8DC04DC4017A9DDB597B9&v=20160425&ts=AHEqAHItC3AoB0.. CHR StartupUrls: Default -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=qca&uid=1988BBF885F8DC04DC4017A9DDB597B9&v=20160425&ts=AHEqAHItC3AoB0.." CHR DefaultSearchURL: Default -> hxxp://www.hohosearch.com/chrome.php?q={searchTerms}&ts=AHEqAHItC3AoB0..&v=20160425&uid=1988BBF885F8DC04DC4017A9DDB597B9&ptid=qca&mode=nnnb CHR DefaultSearchKeyword: Default -> hohosearch OPR StartupUrls: "hxxp://search-time.ru", "hxxp://search-time.ru" S2 Drvcoresrv; "C:\Program Files (x86)\Dravsynlether\Drvcoresrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X] Task: {FFD50B2A-B396-424F-9972-48B438DD69F6} - System32\Tasks\{8B838315-E57F-40A4-BEBE-EC60307EA337} => pcalua.exe -a C:\Users\User\Downloads\lide60vst6411111a_64en(64bit).exe -d C:\Users\User\Downloads EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST и её лог прикрепите к вашему ответу.
Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать новые версии их заново.
Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.
3. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
