Я не понимаю, что именно скачивать из автологера, мне предлагают zip, exe и прочее, а когда пытаюсь открыть, то не знаю с чего открывать.@Human7kkk, здравствуйте!
Давайте для начала проверим, нет ли чего нехорошего в системе. Для этого прочтите и выполните Правила оформления запроса о помощи
Что здесь вам непонятно?
- Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.
- После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.
- Дождитесь окончания работы сбора логов.
- По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
С первой же ссылки скачивать?Давайте прочтём правила вместе:
Что здесь вам непонятно?
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Иван\AppData\Roaming\nssm.exe','');
DeleteFile('C:\Users\Иван\AppData\Roaming\nssm.exe','64');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
O2 - HKLM\..\BHO: IESpeakDoc - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: (no name) - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43da-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4f47-879B-29A80C355D61},$(Arg0) - (no file)
я открыл этот файл с помощью блокнота и это оказался первый скрипт...А что если у меня папка карантина пуста после выполнения скриптов в avz? перед перезагрузкой меня попросили сохранить какой то файл без названия, поэтому я просто ввел первое что пришло в голову. это и есть тот файл, который должен быть в карантине?
Не страшно.А что если у меня папка карантина пуста после выполнения скриптов в avz?
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-168779426-1986121619-196312424-1002\...\MountPoints2: {e05a2d69-96f8-11eb-8029-089e01f237d9} - "D:\Startup.exe"
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
FF Extension: (Поиск Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
FF Extension: (Пульт) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
CHR Notifications: Default -> hxxps://wf.mail.ru
CHR HomePage: Default -> mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://www.yandex.ru/"
CHR DefaultSearchURL: Default -> hxxps://go.mail.ru/search?q={searchTerms}&{mailru:referralID}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxps://suggests.go.mail.ru/chrome?q={searchTerms}
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\onbkopaoemachfglhlpomhbpofepfpom
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch]
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Вот, пожалуйста.Не страшно.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Компьютер будет перезагружен автоматически.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-168779426-1986121619-196312424-1002\...\MountPoints2: {e05a2d69-96f8-11eb-8029-089e01f237d9} - "D:\Startup.exe" FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json] FF Extension: (Поиск Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json] FF Extension: (Пульт) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json] CHR Notifications: Default -> hxxps://wf.mail.ru CHR HomePage: Default -> mail.ru CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://www.yandex.ru/" CHR DefaultSearchURL: Default -> hxxps://go.mail.ru/search?q={searchTerms}&{mailru:referralID} CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxps://suggests.go.mail.ru/chrome?q={searchTerms} C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\onbkopaoemachfglhlpomhbpofepfpom C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Пройдёмся этим:было бы хорошо ещё раз пройтись
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?