Не отключайтено когда отключаю антивирус
Вроде получилосьДелайте с включенным-в виде исключения.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('c:\users\адильхан\appdata\local\temp\DAECF1BA-2C70830C-E6629D12-86B4CFEA\kkaoU2QVof.exe', '32');
DeleteFile('C:\Users\Адильхан\AppData\Local\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\DRPNPS', '64');
ExecuteFile('schtasks.exe', '/delete /TN "DRPNPS" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wnqrfbgtju');
BC_ImportAll;
ExecuteRepair(14);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
USB с компьютера на телефон заработал, но интернет и блютуз по прежнему не работаютВыполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('c:\users\адильхан\appdata\local\temp\DAECF1BA-2C70830C-E6629D12-86B4CFEA\kkaoU2QVof.exe', '32'); DeleteFile('C:\Users\Адильхан\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('C:\WINDOWS\system32\Tasks\DRPNPS', '64'); ExecuteFile('schtasks.exe', '/delete /TN "DRPNPS" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wnqrfbgtju'); BC_ImportAll; ExecuteRepair(14); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger <<< - Прочитайте внимательно правила!!!
start
CreateRestorePoint:
HKU\S-1-5-21-1220083841-550467762-3366563814-1001\...\Run: [wnqrfbgtju] => explorer "hxxp://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=1350AE6F68E391B44E9731FD196718F7&utm_d=20170122" <===== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9-x64 - Broken internet access due to missing entry. <===== ATTENTION
HKU\S-1-5-21-1220083841-550467762-3366563814-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\S-1-5-21-1220083841-550467762-3366563814-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B03491F7E-B3F5-4D06-A738-6E49D9A5D470%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-22]
CHR Extension: (Tampermonkey) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-23]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-23]
OPR Extension: (Tampermonkey) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-23]
OPR Extension: (View Docs) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\elhpodkoleieiijpbmhgggdkilijnilm [2017-01-22]
OPR Extension: (VkDown-Скачать музыку/видео вКонтакте vk.com) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\kmjlbcajpdgjojgkhbfjclgnafpmjdpf [2017-01-23]
2017-01-23 15:59 - 2017-01-23 15:59 - 00002322 _____ C:\Users\Адильхан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2017-01-22 19:21 - 2017-01-23 16:00 - 00000258 __RSH C:\Users\Адильхан\ntuser.pol
2017-01-22 16:26 - 2017-01-22 16:26 - 00000000 ____D C:\Program Files (x86)\filter2
2017-01-22 16:20 - 2017-01-23 16:00 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2017-01-22 16:29 - 2017-01-22 16:29 - 0775176 ____N () C:\Users\Адильхан\AppData\Local\Temp\9r65g4ptYc0i.exe
2017-01-22 16:19 - 2017-01-22 16:19 - 0024576 ____N (Ubar Plugin Soft) C:\Users\Адильхан\AppData\Local\Temp\coi1634.exe
2017-01-22 16:23 - 2017-01-22 16:23 - 0775176 ____N () C:\Users\Адильхан\AppData\Local\Temp\r3Idk56KZgo7.exe
2016-12-07 20:51 - 2016-12-07 20:51 - 5577216 _____ (xTc inc. Soft) C:\Users\Адильхан\AppData\Local\Temp\Universal_Steam_Combine_by_Amfi_6.8.5.6.exe
2016-12-16 22:15 - 2017-01-05 00:34 - 5575168 _____ (xTc inc. Soft) C:\Users\Адильхан\AppData\Local\Temp\Universal_Steam_Combine_by_Amfi_6.8.5.7.exe
2017-01-22 16:19 - 2017-01-22 16:19 - 3036376 ____N () C:\Users\Адильхан\AppData\Local\Temp\vSriLBB64wvL.exe
CMD: winmgmt /verifyrepository
CMD: winmgmt /salvagerepository
CMD: winmgmt /resetrepository
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: bitsadmin /reset /allusers
CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\System32\GroupPolicy
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end
Боже благослови вас, хоть я и атеист. Жаль что вы так долго отвечали, но все же СПАСИБО. Все работаетСоздайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.
Cкопируйте в него текст из окна "код" ниже и сохраните.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:start CreateRestorePoint: HKU\S-1-5-21-1220083841-550467762-3366563814-1001\...\Run: [wnqrfbgtju] => explorer "hxxp://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=1350AE6F68E391B44E9731FD196718F7&utm_d=20170122" <===== ATTENTION GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION Winsock: -> Catalog9-x64 - Broken internet access due to missing entry. <===== ATTENTION HKU\S-1-5-21-1220083841-550467762-3366563814-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-1220083841-550467762-3366563814-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B03491F7E-B3F5-4D06-A738-6E49D9A5D470%7D&gp=811041 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-22] CHR Extension: (Tampermonkey) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-23] CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Адильхан\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-23] OPR Extension: (Tampermonkey) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-23] OPR Extension: (View Docs) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\elhpodkoleieiijpbmhgggdkilijnilm [2017-01-22] OPR Extension: (VkDown-Скачать музыку/видео вКонтакте vk.com) - C:\Users\Адильхан\AppData\Roaming\Opera Software\Opera Stable\Extensions\kmjlbcajpdgjojgkhbfjclgnafpmjdpf [2017-01-23] 2017-01-23 15:59 - 2017-01-23 15:59 - 00002322 _____ C:\Users\Адильхан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk 2017-01-22 19:21 - 2017-01-23 16:00 - 00000258 __RSH C:\Users\Адильхан\ntuser.pol 2017-01-22 16:26 - 2017-01-22 16:26 - 00000000 ____D C:\Program Files (x86)\filter2 2017-01-22 16:20 - 2017-01-23 16:00 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol 2017-01-22 16:29 - 2017-01-22 16:29 - 0775176 ____N () C:\Users\Адильхан\AppData\Local\Temp\9r65g4ptYc0i.exe 2017-01-22 16:19 - 2017-01-22 16:19 - 0024576 ____N (Ubar Plugin Soft) C:\Users\Адильхан\AppData\Local\Temp\coi1634.exe 2017-01-22 16:23 - 2017-01-22 16:23 - 0775176 ____N () C:\Users\Адильхан\AppData\Local\Temp\r3Idk56KZgo7.exe 2016-12-07 20:51 - 2016-12-07 20:51 - 5577216 _____ (xTc inc. Soft) C:\Users\Адильхан\AppData\Local\Temp\Universal_Steam_Combine_by_Amfi_6.8.5.6.exe 2016-12-16 22:15 - 2017-01-05 00:34 - 5575168 _____ (xTc inc. Soft) C:\Users\Адильхан\AppData\Local\Temp\Universal_Steam_Combine_by_Amfi_6.8.5.7.exe 2017-01-22 16:19 - 2017-01-22 16:19 - 3036376 ____N () C:\Users\Адильхан\AppData\Local\Temp\vSriLBB64wvL.exe CMD: winmgmt /verifyrepository CMD: winmgmt /salvagerepository CMD: winmgmt /resetrepository CMD: netsh advfirewall reset CMD: netsh advfirewall set allprofiles state ON CMD: netsh winsock reset catalog CMD: netsh int ip reset CMD: netsh int ipv4 reset CMD: netsh int ipv6 reset CMD: ipconfig /flushdns CMD: IPCONFIG /release CMD: IPCONFIG /renew CMD: bitsadmin /reset /allusers CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers CMD: RD /S /Q %WinDir%\System32\GroupPolicy CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy CMD: gpupdate /force CMD: bitsadmin /reset /allusers EmptyTemp: Reboot: end
Компьютер будет перезагружен автоматически
Извиняюсь, днем - работа.
У Вас проблема с подсистемой WMI, скачайте прикрепленный файл, распакуйте из архива, щелкните по нему правой кнопкой мыши, выберите Запуск от имени Администратора затем перезагрузите компьютер, удалите старые и подготовьте новые логи FRST
Отлично, 2 последних штриха:
1)Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/security-check-by-glax24.25/download?version=838
2)Скачайте Delfix по этой ссылке
Установите галочки напротив следующих пунктов:
Нажмите кнопку Run
- Activate UAC
- Remove disinfection tools
- Create registry backup
- Purge system restore
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?