Boomklaack
Новый пользователь
- Сообщения
- 22
- Реакции
- 1
если полистаете по вкладкам, то увидите что там на самом деле ещё много строчек )))там две строчки GlobalUdate Service с галочками
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi\Steam', '');
QuarantineFileF('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
QuarantineFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '');
DeleteFile('C:\Windows\Tasks\1JIZKfasFPBRlKGI5CnwD.job', '32');
DeleteFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '32');
DeleteFile('C:\Windows\Tasks\AlterGeoUpdater-S-1-5-18.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-11.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-2.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-4.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5_user.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-6.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-7.job', '32');
DeleteFile('C:\Windows\Tasks\quiz_games_notification_service.job', '32');
DeleteFile('C:\Windows\Tasks\quiz_games_updating_service.job', '32');
DeleteFile('C:\Windows\Tasks\VFYWlq6V.job', '32');
DeleteFile('C:\Windows\system32\Tasks\AlterGeoUpdater-S-1-5-18', '32');
DeleteFile('C:\Windows\system32\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1', '32');
DeleteFile('C:\Windows\system32\Tasks\{B125D3DC-CE86-4E0A-9B46-4132B529D835}', '32');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #0');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
а также уточните это происходит на всех сайтах? В любом браузера или только в лисе?при загрузке страницы всё-таки связь со сторонними сайтами есть.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.246.101.130:80
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
start
CreateRestorePoint:
HKU\S-1-5-21-1866462090-2718774502-2235001341-1000\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
HKU\S-1-5-18\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
FF Plugin HKU\S-1-5-21-1866462090-2718774502-2235001341-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
2015-03-31 11:14 - 2015-03-31 11:14 - 00005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
2015-03-31 11:14 - 2015-03-31 11:14 - 00004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
2015-03-31 11:14 - 2015-03-31 11:14 - 0005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
2015-03-31 11:14 - 2015-03-31 11:14 - 0004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
2013-08-15 09:52 - 2014-01-07 12:46 - 0000130 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WB.CFG
2013-08-31 18:08 - 2013-08-31 18:08 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-FF.DAT
2013-12-31 17:46 - 2014-01-03 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-Q5-TTL.DAT
2013-08-15 09:52 - 2014-01-07 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-TTL.DAT
2013-03-23 20:51 - 2015-01-21 14:28 - 0004096 _____ () C:\Users\Гари Сильвер\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2014-09-18 16:45 - 2014-09-18 16:45 - 0585728 _____ () C:\Users\Гари Сильвер\AppData\Local\file__0.localstorage
2013-05-07 22:59 - 2013-08-03 20:34 - 0007597 _____ () C:\Users\Гари Сильвер\AppData\Local\Resmon.ResmonCfg
2014-06-04 13:35 - 2014-06-04 13:36 - 0000000 _____ () C:\Users\Гари Сильвер\AppData\Local\{5EE372CA-FECB-4063-908D-AB992843FEFD}
2014-02-15 00:32 - 2014-02-15 00:32 - 0000413 _____ () C:\ProgramData\fontcacheev1.dat
2013-03-23 12:51 - 2013-03-23 12:51 - 0004104 _____ () C:\ProgramData\ojobkspa.ako
2013-03-23 12:03 - 2013-03-23 12:03 - 0004096 _____ () C:\ProgramData\tbythlfa.ktx
C:\ProgramData\fontcacheev1.dat
C:\Users\Все пользователи\fontcacheev1.dat
EmptyTemp:
Reboot:
end
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?