10 ответов в этой теме

[Stabber]

Здравствуйте. Нужна помощь с обезвреживанием вируса dpc malware url. Объект chrome.exe

Curreit не может его вылечить. Прикладываю ссылки на логи 

https://disk.yandex.ru/d/TL_qIB4YPXzCTw

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Добрый день ! Добавьте пожалуйста FRST и Addiction

[Stabber]

Добрый день ! Добавьте пожалуйста FRST и Addiction

Добрый! Они на диске яндекса, куда я дал ссылку вначале темы. Или как-то по другому нужно приложить? Или это не то? 

[Alexander007]

Через 30-40 мин зайду и посмотрю .

[Alexander007]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::

CreateRestorePoint:

CloseProcesses:

AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]

AlternateDataStreams: C:\Users\chuma\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]

AlternateDataStreams: C:\Users\chuma\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]

AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2612]

HKLM\...\StartupApproved\Run: => "Acronis Scheduler2 Service"

HKLM\...\StartupApproved\Run: => "AdobeGCInvoker-1.0"

HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"

HKLM\...\StartupApproved\Run: => "Wondershare Helper Compact.exe"

HKLM\...\StartupApproved\Run: => "Cm108BSound"

HKLM\...\StartupApproved\Run: => "iTunesHelper"

HKLM\...\StartupApproved\Run: => "Autodesk Access"

HKLM\...\StartupApproved\Run32: => "APSDaemon"

HKLM\...\StartupApproved\Run32: => "Adobe CCXProcess"

HKLM\...\StartupApproved\Run32: => "Adobe Creative Cloud"

HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"

HKLM\...\StartupApproved\Run32: => "Acrobat Assistant 8.0"

HKLM\...\StartupApproved\Run32: => "GetVideo"

HKLM\...\StartupApproved\Run32: => "Launch 0 FwCustom"

HKLM\...\StartupApproved\Run32: => "Autodesk Genuine Service "

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "OneDrive"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "uTorrent"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Adguard"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Discord"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "EpicGamesLauncher"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "iamback"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "YandexSearchBand"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "ut"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "YandexDisk2"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_0F8995DB4B21A26CD34840D232D44953"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "SendAnywhere"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "EADM"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Overwolf"

IE trusted site: HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\localhost -> localhost

IE trusted site: HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\webcompanion.com -> hxxp://webcompanion.com

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\Software\Classes\.scr: AutoCADScriptFile => C:\WINDOWS\system32\notepad.exe "%1"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=412&clid=2255618

SearchScopes: HKU\S-1-5-21-665457009-2071282672-2824060803-1001 -> DefaultScope 3022620a-0ca8-11ea-8d55-1c6f653ebb03 URL = hxxps://yandex.ru/search/?win=412&clid=2255619&text={searchTerms}

SearchScopes: HKU\S-1-5-21-665457009-2071282672-2824060803-1001 -> 3022620a-0ca8-11ea-8d55-1c6f653ebb03 URL = hxxps://yandex.ru/search/?win=412&clid=2255619&text={searchTerms}

HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\Policies\Explorer: [] 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {16c23aaa-60fc-11ed-96df-d85ed330a375} - "I:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {1a15ac71-2e52-11ef-972b-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {1f39e047-f0a0-11ec-96c1-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {333864ec-57fa-11ec-9683-1c6f653ebb03} - "G:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {333865e1-57fa-11ec-9683-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {48e10f4a-2177-11ed-96d0-d85ed330a375} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {58d111a8-8ed3-11ef-9739-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {74e78952-624a-11ea-95c9-1c6f653ebb03} - "G:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {9b8cff49-8f90-11ee-9705-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {9f315c1a-5b54-11ec-9683-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {db58453f-9ca3-11ec-96a0-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

Task: {FCF98CB0-9520-4F6D-A4D9-4A129637DEF0} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\Run: [chuma] => cmd.exe /c start www.dinoraptzor.org (Нет файла) <==== ВНИМАНИЕ

Task: {BDD87E87-B66C-4515-8F9E-0EBE38A722C6} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel® Update Manager\bin\iumsvc.exe  --automatic (Нет файла)

HKLM-x32\...\Run: [] => [X]

Virusscan: C:\Program Files (x86)\DSDCS\InputMapper\ExclusiveModeTool.exe

FF DefaultProfile: ixq9efis.default

FF ProfilePath: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\ixq9efis.default [2023-12-27]

FF SearchPlugin: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\ixq9efis.default\searchplugins\yandex-perion.xml [2020-11-14]

FF ProfilePath: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\zbtmqn4g.default-release-1666635156213 [2024-11-26]

FF Notifications: Mozilla\Firefox\Profiles\zbtmqn4g.default-release-1666635156213 -> hxxps://www.mirtreilerov.life; hxxps://rtmsf-uvuvuru-f8clb201n.meet-buddy.com; hxxps://xfpfp-torrentvorcom-f98m0mfac.meet-buddy.com; hxxps://vreaq-uvuvuru-famjl6ic7.meet-buddy.com; hxxps://www.treilery.com; hxxps://tuzfr-torlafaws-fbgljhe25.meet-buddy.com; hxxps://hxcge-torlafaws-fcb9e811i.meet-buddy.com

FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]

FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]

YAN Profile: C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default [2024-11-26]

YAN Notifications: Default -> hxxps://www.mirtreilerov.life

YAN Extension: (AdGuard Антибаннер) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bgnkhhnnamicmpeenaelnjfhikgbkllg [2024-11-25]

YAN Extension: (WOT: Website Security & Safety Checker) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bhmmomiinigofkjcapegjjndpbikblnp [2024-10-18]

YAN Extension: (Автоматическое применение купонов) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ejfajpmpabphhkcacijnhggimhelopfg [2020-04-12]

YAN Extension: (Savematik: Coupons at Checkout) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\eoeoincjhpflnpdaiemgbboknhkblome [2020-04-12]

YAN Extension: (Автоматическое применение купонов) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\glgemekgfjppocilabhlcbngobillcgf [2020-04-12]

YAN Extension: (Lightshot (screenshot tool)) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mbniclmhobmnbdlbpiphghaielnnpgdp [2024-07-26]

YAN Extension: (Альтернативный поиск) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\nakghomngmpcmhhhbhakmeakjmeaknme [2020-04-12] [UpdateUrl:hxxps://browser-api.store.yandex.net/crx/v1/update] <==== ВНИМАНИЕ

YAN Extension: (SaveFrom.net помощник) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2024-06-07]

YAN Extension: (Notepad) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\pcnbmpliiimnocdfegpdnjfeflibmgbi [2020-04-12]

YAN Extension: (Evernote Web Clipper) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2024-03-04]

CHR Notifications: Default -> hxxps://filmplaceru163536565900118.instadrama.site; hxxps://loonakinoru1639767175129312.bezrukov.fun; hxxps://rutor.uproxy.xyz; hxxps://rutorentekgtorrentfun16402908052878.vkonrakte.com; hxxps://upfiles.io; hxxps://www.avito.ru; hxxps://www.eldorado.ru; hxxps://www1a.delmarmora.pro; hxxps://www1a.moshemartin.pro

CHR StartupUrls: Default -> "hxxp://www.google.com"

CHR Extension: (Яндекс) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf [2024-02-07]

CHR Extension: (anonymoX) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\icpklikeghomkemdellmmkoifgfbakio [2024-11-25]

CHR Extension: (Яндекс) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2024-05-09]

CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-01-30]

CHR Extension: (AdBlocker Ultimate) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohahllgiabjaoigichmmfljhkcfikeof [2024-11-21]

CHR Profile: C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Guest Profile [2023-12-27]

CHR Profile: C:\Users\chuma\AppData\Local\Google\Chrome\User Data\System Profile [2023-12-27]

CHR HKU\S-1-5-21-665457009-2071282672-2824060803-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

CHR HKU\S-1-5-21-665457009-2071282672-2824060803-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]

CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]

CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2017-11-01]

GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ

Virusscan: %SystemRoot%\System32\drivers\CMUAC.sys [X]

Virusscan: %SystemRoot%\System32\DriverStore\FileRepository\nvmoduletracker.inf_amd64_ea6cec41fc5b2a8b\NvModuleTracker.sys [X]

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions

Reboot:

End::

 

 

 

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Vvvyg]

+ Отключите ненужные оповещения в Хроме - там явноесть лишние.

[Stabber]

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::

CreateRestorePoint:

CloseProcesses:

AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]

AlternateDataStreams: C:\Users\chuma\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]

AlternateDataStreams: C:\Users\chuma\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]

AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2612]

HKLM\...\StartupApproved\Run: => "Acronis Scheduler2 Service"

HKLM\...\StartupApproved\Run: => "AdobeGCInvoker-1.0"

HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"

HKLM\...\StartupApproved\Run: => "Wondershare Helper Compact.exe"

HKLM\...\StartupApproved\Run: => "Cm108BSound"

HKLM\...\StartupApproved\Run: => "iTunesHelper"

HKLM\...\StartupApproved\Run: => "Autodesk Access"

HKLM\...\StartupApproved\Run32: => "APSDaemon"

HKLM\...\StartupApproved\Run32: => "Adobe CCXProcess"

HKLM\...\StartupApproved\Run32: => "Adobe Creative Cloud"

HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"

HKLM\...\StartupApproved\Run32: => "Acrobat Assistant 8.0"

HKLM\...\StartupApproved\Run32: => "GetVideo"

HKLM\...\StartupApproved\Run32: => "Launch 0 FwCustom"

HKLM\...\StartupApproved\Run32: => "Autodesk Genuine Service "

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "OneDrive"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "uTorrent"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Adguard"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Discord"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "EpicGamesLauncher"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "iamback"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "YandexSearchBand"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "ut"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "YandexDisk2"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_0F8995DB4B21A26CD34840D232D44953"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "SendAnywhere"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "EADM"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\StartupApproved\Run: => "Overwolf"

IE trusted site: HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\localhost -> localhost

IE trusted site: HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\webcompanion.com -> hxxp://webcompanion.com

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\Software\Classes\.scr: AutoCADScriptFile => C:\WINDOWS\system32\notepad.exe "%1"

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=412&clid=2255618

SearchScopes: HKU\S-1-5-21-665457009-2071282672-2824060803-1001 -> DefaultScope 3022620a-0ca8-11ea-8d55-1c6f653ebb03 URL = hxxps://yandex.ru/search/?win=412&clid=2255619&text={searchTerms}

SearchScopes: HKU\S-1-5-21-665457009-2071282672-2824060803-1001 -> 3022620a-0ca8-11ea-8d55-1c6f653ebb03 URL = hxxps://yandex.ru/search/?win=412&clid=2255619&text={searchTerms}

HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\Policies\Explorer: [] 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {16c23aaa-60fc-11ed-96df-d85ed330a375} - "I:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {1a15ac71-2e52-11ef-972b-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {1f39e047-f0a0-11ec-96c1-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {333864ec-57fa-11ec-9683-1c6f653ebb03} - "G:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {333865e1-57fa-11ec-9683-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {48e10f4a-2177-11ed-96d0-d85ed330a375} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {58d111a8-8ed3-11ef-9739-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {74e78952-624a-11ea-95c9-1c6f653ebb03} - "G:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {9b8cff49-8f90-11ee-9705-d85ed330a375} - "I:\HiSuiteDownLoader.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {9f315c1a-5b54-11ec-9683-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\MountPoints2: {db58453f-9ca3-11ec-96a0-1c6f653ebb03} - "G:\HonorSuiteOnlineInstaller.exe" 

Task: {FCF98CB0-9520-4F6D-A4D9-4A129637DEF0} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)

HKU\S-1-5-21-665457009-2071282672-2824060803-1001\...\Run: [chuma] => cmd.exe /c start www.dinoraptzor.org (Нет файла) <==== ВНИМАНИЕ

Task: {BDD87E87-B66C-4515-8F9E-0EBE38A722C6} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel® Update Manager\bin\iumsvc.exe  --automatic (Нет файла)

HKLM-x32\...\Run: [] => [X]

Virusscan: C:\Program Files (x86)\DSDCS\InputMapper\ExclusiveModeTool.exe

FF DefaultProfile: ixq9efis.default

FF ProfilePath: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\ixq9efis.default [2023-12-27]

FF SearchPlugin: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\ixq9efis.default\searchplugins\yandex-perion.xml [2020-11-14]

FF ProfilePath: C:\Users\chuma\AppData\Roaming\Mozilla\Firefox\Profiles\zbtmqn4g.default-release-1666635156213 [2024-11-26]

FF Notifications: Mozilla\Firefox\Profiles\zbtmqn4g.default-release-1666635156213 -> hxxps://www.mirtreilerov.life; hxxps://rtmsf-uvuvuru-f8clb201n.meet-buddy.com; hxxps://xfpfp-torrentvorcom-f98m0mfac.meet-buddy.com; hxxps://vreaq-uvuvuru-famjl6ic7.meet-buddy.com; hxxps://www.treilery.com; hxxps://tuzfr-torlafaws-fbgljhe25.meet-buddy.com; hxxps://hxcge-torlafaws-fcb9e811i.meet-buddy.com

FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]

FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]

YAN Profile: C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default [2024-11-26]

YAN Notifications: Default -> hxxps://www.mirtreilerov.life

YAN Extension: (AdGuard Антибаннер) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bgnkhhnnamicmpeenaelnjfhikgbkllg [2024-11-25]

YAN Extension: (WOT: Website Security & Safety Checker) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bhmmomiinigofkjcapegjjndpbikblnp [2024-10-18]

YAN Extension: (Автоматическое применение купонов) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ejfajpmpabphhkcacijnhggimhelopfg [2020-04-12]

YAN Extension: (Savematik: Coupons at Checkout) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\eoeoincjhpflnpdaiemgbboknhkblome [2020-04-12]

YAN Extension: (Автоматическое применение купонов) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\glgemekgfjppocilabhlcbngobillcgf [2020-04-12]

YAN Extension: (Lightshot (screenshot tool)) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mbniclmhobmnbdlbpiphghaielnnpgdp [2024-07-26]

YAN Extension: (Альтернативный поиск) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\nakghomngmpcmhhhbhakmeakjmeaknme [2020-04-12] [UpdateUrl:hxxps://browser-api.store.yandex.net/crx/v1/update] <==== ВНИМАНИЕ

YAN Extension: (SaveFrom.net помощник) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2024-06-07]

YAN Extension: (Notepad) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\pcnbmpliiimnocdfegpdnjfeflibmgbi [2020-04-12]

YAN Extension: (Evernote Web Clipper) - C:\Users\chuma\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2024-03-04]

CHR Notifications: Default -> hxxps://filmplaceru163536565900118.instadrama.site; hxxps://loonakinoru1639767175129312.bezrukov.fun; hxxps://rutor.uproxy.xyz; hxxps://rutorentekgtorrentfun16402908052878.vkonrakte.com; hxxps://upfiles.io; hxxps://www.avito.ru; hxxps://www.eldorado.ru; hxxps://www1a.delmarmora.pro; hxxps://www1a.moshemartin.pro

CHR StartupUrls: Default -> "hxxp://www.google.com"

CHR Extension: (Яндекс) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf [2024-02-07]

CHR Extension: (anonymoX) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\icpklikeghomkemdellmmkoifgfbakio [2024-11-25]

CHR Extension: (Яндекс) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2024-05-09]

CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-01-30]

CHR Extension: (AdBlocker Ultimate) - C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohahllgiabjaoigichmmfljhkcfikeof [2024-11-21]

CHR Profile: C:\Users\chuma\AppData\Local\Google\Chrome\User Data\Guest Profile [2023-12-27]

CHR Profile: C:\Users\chuma\AppData\Local\Google\Chrome\User Data\System Profile [2023-12-27]

CHR HKU\S-1-5-21-665457009-2071282672-2824060803-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

CHR HKU\S-1-5-21-665457009-2071282672-2824060803-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]

CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]

CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2017-11-01]

GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ

Virusscan: %SystemRoot%\System32\drivers\CMUAC.sys [X]

Virusscan: %SystemRoot%\System32\DriverStore\FileRepository\nvmoduletracker.inf_amd64_ea6cec41fc5b2a8b\NvModuleTracker.sys [X]

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions

Reboot:

End::

 

 

 

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Здравствуйте. Ссылка та же, добавил туда fixlog https://disk.yandex.ru/d/TL_qIB4YPXzCTw

[Alexander007]

Ну как ? Почистите все логи , переделывать свежую .

[Stabber]

Ну как ? Почистите все логи , переделывать свежую .

Сurreit больше не видит этот вирус, плюс перестала вылезать реклама при запуске. Так что могу сделать вывод, что помогло. Спасибо большое за помощь!

[Alexander007]

Тогда ставь Dr.Web Security Space - проблем не будет.