Разное

напильник · Отправлено: **16:22, 20-12-2017** | #11

akok · Отправлено: **16:30, 20-12-2017** | #12

Цитата напильник:

давно удалил. видимо, не всё вычистил. »

Вот утилита для удаления следов http://www.cezurity.com/temp/remover...us_Remover.exe

rtmpdump - сами устанавливали?
И эти настройки системы:

Код:

HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\Policies\Explorer: [NoDrivesInSendToMenu] 1
HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\Policies\Explorer: [HideSCAVolume] 1

Групповые политики?
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2273658178-282014630-1779785071-1000\...\MountPoints2: {52b00c56-59f2-11e7-b145-002586e3f81f} - G:\
AlternateDataStreams: C:\Windows\nircmd.exe:.gltth [162]
AlternateDataStreams: C:\Windows\system32\shellstyle.dll:.gltth [20]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Windows Firewall is disabled. - сами отключили?

напильник · Отправлено: **18:25, 20-12-2017** | #13

Цитата akok:

rtmpdump - сами устанавливали? »

помогали.

Цитата akok:

Групповые политики? »

да, вроде настраивал там винду после установки.

Цитата akok:

Windows Firewall is disabled. - сами отключили? »

служба Брандмауэр Windows работает (автоматический запуск). не отключал.

Цитата akok:

AlternateDataStreams: C:\Windows\nircmd.exe:.gltth [162]
AlternateDataStreams: C:\Windows\system32\shellstyle.dll:.gltth [20] »

обьясните чайнику суть команд. любопытно.
лог прилагаю. я так понял, первая команда на создание точки восстановления. отключено оно у меня.

напильник · Отправлено: **19:54, 26-12-2017** | #14

Up!
ау, спецы! всё на этом?
сделаем зарядку для мозгов, продолжим..

Sandor · Отправлено: **09:18, 27-12-2017** | #15

Проблема еще актуальна?

напильник · Отправлено: **12:18, 27-12-2017** | #16

кнчно, актуальна. иначе я бы отписался.

Sandor · Отправлено: **12:22, 27-12-2017** | #17

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

напильник · Отправлено: **18:01, 28-12-2017** | #18

проблема решена. заглянул в установку-удаление программ, в списке торчит Cezurity Antivirus. хотя удалял его раньше и недавно с помощью утилиты из поста akok. вроде потом пропадал из списка. ладно, нажал удалить, вылезло окошко, что-то само сделало. из списка исчез. после этого папка $OSBACKUP$ без проблем везде удалилась. перезагружал-выключал, пока чисто.
Malwarebytes Anti-Malware просканировал, лог прилагаю. там ярлык из автозагрузки на скрипт rtmpdump (с iptv связано). не думаю, что вредно. а что про остальные обнаруженные посоветуете?
спасибо всем за помощь!
пс: это внучка мне удружила с Cezurity Antivirus. что-то искала в инете и по ошибке установила.

Sandor · Отправлено: **18:07, 28-12-2017** | #19

Кроме

Цитата:

Backdoor.Agent.Gen, C:\USERS\SHIFR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1.lnk, Проигнорировано пользователем, [746], [218110],1.0.3576

все остальное можно удалить (поместить в карантин).

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

напильник · Отправлено: **18:47, 28-12-2017** | #20

сделал