1во фикс лог-а 

 

и след това сканирането 

Fixlog.txt FRST.txt Addition.txt

https://img321.com/view/image/ad8af78f-3fde-4e92-adb9-48803e5d6bf3

Стартирайте следния скрипт и прикачете новия Fixlog.txt:

fixlist.txt

Надявам се не ползвате системата (не стартирате разни програми и инсталатори по време на почистващия процес).

Поздрави!

преди 10 минути, B-boy/StyLe/ написа:

Стартирайте следния скрипт и прикачете новия Fixlog.txt:

fixlist.txt 22.89 kB · 1 изтегляне

Надявам се не ползвате системата (не стартирате разни програми и инсталатори по време на почистващия процес).

Поздрави!

не инсталирам нищо като тече процеса,  след се наложи (изтеглих архивиран paint) но това беше

Fixlog.txt

Така, нека да изтрием карантината на FRST:

Изпълнете следния скрипт:

fixlist.txt

Прикачете Fixlog.txt за да видя дали процедурата е била успешна.

След това направете нова проверка с FRST и прикачете новите резултати - FRST.txt и Addition.txt

А иначе как е сега положението?

преди 11 минути, B-boy/StyLe/ написа:

Така, нека да изтрием карантината на FRST:

Изпълнете следния скрипт:

fixlist.txt 17 B · 1 изтегляне

Прикачете Fixlog.txt за да видя дали процедурата е била успешна.

След това направете нова проверка с FRST и прикачете новите резултати - FRST.txt и Addition.txt

А иначе как е сега положението?

карантината е изтрита, четох лог-а ако все пак е нужно ще го кача

Така иначе е добре на пръв поглед, къде къде е сега в сравнение със забиването, товаренето на 100 процента , но уиндоус ъпдейта дава грешка, видео плеъра не си отваря видео файловете, и не съм сигурен какво още, сещам се освен това и за стийм- а където всичко в директорията е изтрито, но там си мисля с ръчно добаване ще станат нещата

Addition.txt FRST.txt

всъщност не знам какво е точно с видео кодеци/плеър/и , по скоро е нещо съвсем друго... не знам как да го обясня, някои exe-та не се виждат както  е иконата им ами... наистина не знам как да го обясня, ето ако със скрийнове мога да ви покажа

https://img321.com/view/image/9ab5b0cc-a366-492d-a26f-09b5bb5bd7f1

https://img321.com/view/image/70a1ce6b-c87d-4923-9bbe-7d15f482f164

Това се оправя с просто почистване на iconcache.db файла.

Стартирай това с десен бутон и Run as administrator (explorer.exe ще се рестартира по време на почистването). Може да пуснеш и един cleanmgr.exe със сложени всички отметки.

Ако трябва рестартирай после системата и виж как е положението.

iconcache_delete.bat

След малко ще видя и новите логове. Колкото до програмите, които не работят...нека да видим дали няма някой полиморфен вирус като Virut/Sality/Ramnit и т.н.

Направи една проверка с KVRT:

https://support.kaspersky.com/kvrt2020

Стартирай инструмента и сложи всички отметки на лицензионното споразумение в началото и натисни Accept. По време на стартирането му позволи да се свърже с интернет ако попита.

Кликни на Change Paramatters и сложи освен вече сложените отметки и пред System Drive и натисни OK. След това натисни Start Scan. Като приключи снимай резултатите.

След това ще обърнем внимание на Windows Update. Защо не пробваш да преинсталираш въпросния плеър, който не работи?

Поздрави!

Видях и лог файловете. Най-после са ЧИСТИ!!!

преди 43 минути, The Reaper написа:

https://img321.com/view/image/9ab5b0cc-a366-492d-a26f-09b5bb5bd7f1

https://img321.com/view/image/70a1ce6b-c87d-4923-9bbe-7d15f482f164

Всъщност момент. Това не е прецакан iconcache.db... Сега видях снимките по-добре. Това са криптирани файлове...Аз вчера споменах, че имате и криптиращ вирус (Ransomware). Най-вероятно няма декриптор за него и ще се наложи да изтрием криптираните копия, защото файловете ще са безполезни и само ще заемат място. Ако са били важни и нямате бекъп ще пиете една студена вода и ще ви е като обеца на ухото...

Все пак пратете един от криптираните файлове тук за да видим кой е варианта на ransomware-a:

https://id-ransomware.malwarehunterteam.com/

Копирайте линка с резултатите.

преди 16 минути, B-boy/StyLe/ написа:

Това се оправя с просто почистване на iconcache.db файла.

Стартирай това с десен бутон и Run as administrator (explorer.exe ще се рестартира по време на почистването). Може да пуснеш и един cleanmgr.exe със сложени всички отметки.

Ако трябва рестартирай после системата и виж как е положението.

iconcache_delete.bat 161 B · 1 изтегляне

След малко ще видя и новите логове. Колкото до програмите, които не работят...нека да видим дали няма някой полиморфен вирус като Virut/Sality/Ramnit и т.н.

Направи една проверка с KVRT:

https://support.kaspersky.com/kvrt2020

Стартирай инструмента и сложи всички отметки на лицензионното споразумение в началото и натисни Accept. По време на стартирането му позволи да се свърже с интернет ако попита.

Кликни на Change Paramatters и сложи освен вече сложените отметки и пред System Drive и натисни OK. След това натисни Start Scan. Като приключи снимай резултатите.

След това ще обърнем внимание на Windows Update. Защо не пробваш да преинсталираш въпросния плеър, който не работи?

Поздрави!

Видях и лог файловете. Най-после са ЧИСТИ!!!

Всъщност момент. Това не е прецакан iconcache.db... Сега видях снимките по-добре. Това са криптирани файлове...Аз вчера споменах, че имате и криптиращ вирус (Ransomware). Най-вероятно няма декриптор за него и ще се наложи да изтрием криптираните копия, защото файловете ще са безполезни и само ще загубят място. Ако са били важни и нямате бекъп ще пиете една студена вода и ще ви е като обеца на ухото...

Все пак пратете един от криптираните файлове тук за да видим кой е варианта на ransomware-a:

https://id-ransomware.malwarehunterteam.com/

Копирайте линка с резултатите.

 

https://id-ransomware.malwarehunterteam.com/identify.php?case=f027e14bdae1687778c7b0e13c08d6b0f0b6f158 това е,  което си избрах да кача, оригинално исках 'бившото' ехе на игра но ми даде грешка, твърде голям размер.

Иначе да виждам че има много странни 'наставки', типове от рода си на "qqkk" а не просто 'ехе' както следва да е... еми вода ще е, в хладилника поне това имам заредено в излишък..

 

Чакам касперски да сканира и ще постна резултата

p.p. видео файловете които не се отварят са също със 'qqkk' разширение.... това е криптиращ вирус така ли ?

преди 18 минути, The Reaper написа:

p.p. видео файловете които не се отварят са също със 'qqkk' разширение.... това е криптиращ вирус така ли ?

Да. Това е STOP DjVU. Ако е нов вариант декриптирането няма да е възможно и просто ще ги изтрием и ще си свалите филмите и игрите наново (сега вече за документите сигурно няма да можете, но какво да се прави).

Все пак пробвайте да ги декриптирате с този инструмент:

https://www.emsisoft.com/ransomware-decryption/download/stop-djvu

понеже са доста 'засечки' на касперски и след час и половина не беше още никъде излязох и оставих комп-а да си работи, направих 2 скрийн шота понеже не мога да снимам всичкото на веднъж...

https://img321.com/view/image/9c353dee-1051-4a1b-a94d-0d973dd7aa01

https://img321.com/view/image/c87a6c38-4873-45ef-9d38-014cbb2221a5 

надявам се да можете да се ориентирате, относно декриптора... https://img321.com/view/image/7e845329-ff45-47f3-83e9-b9dce596bea1 не съм сигурен какво да кликам, поедно или целия дял или как ?

p..p. мисля че се ориентирах, просто избрах папка с филм, и му дадох 'декрипт' надявам се че е това, сега чакам...

То и аз бях спрял системата, защото имаше силна буря придружена с мощни гръмотевици.

Ами при резултатите от Kaspersky сте снимали едно и също без да дадете плъзгача надолу, но според мен можете да му позволите да изтрие намерените заплахи с бутона Continue, защото се вижда, че са некативни остатъци от червея (вече няма loading points) и затова не се видяха в логовете на FRST. Именно затова ръчното почистване се прави ръка за ръка с допълнителен инструмент (защото ако се използва само FRST или само автоматично инструменти ще има пропуски, защото пък автоматичните инструменти разчитат на дефиниции, които също може да пропуснат непознати варианти, а FRST разчита на нас, обучените).

Да, относно декриптора, той автоматично избира намерените дяловете в системата. Само трябва да се натисне бутона Decrypt и да се чака и да се стиска палци. Ако намери OFFLINE ключа използван от криптора ще успее да ги декриптира. Ако гадината е използвала ONLINE ключ (важи за новите версии) няма да успее. По-вероятно е да не успее, защото последната версия на декриптора е от 2019-та, а сега сме 2022 и шанса да е нов вариант е огромен за съжаление. Така че, аз не бих възлагал големи надежди.

преди 6 минути, B-boy/StyLe/ написа:

То и аз бях спрял системата, защото имаше силна буря придружена с мощни гръмотевици.

Ами при резултатите от Kaspersky сте снимали едно и също без да дадете плъзгача надолу, но според мен можете да му позволите да изтрие намерените заплахи с бутона Continue, защото се вижда, че са некативни остатъци от червея (вече няма loading points) и затова не се видяха в логовете на FRST. Именно затова ръчното почистване се прави ръка за ръка с допълнителен инструмент (защото ако се използва само FRST или само автоматично инструменти ще има пропуски, защото пък автоматичните инструменти разчитат на дефиниции, а FRST разчита на нас, обучените).

Да, относно декриптора, той автоматично избира намерените дяловете в системата. Само трябва да се натисне бутона Decrypt и да се чака и да се стиска палци. Ако намери OFFLINE ключа използван от криптора ще успее да ги декриптира. Ако гадината е използвала ONLINE ключ (важи за новите версии) няма да успее. По-вероятно е да не успее, защото последната версия на декриптора е от 2019-та, а сега сме 2022 и шанса да е нов вариант е огромен за съжаление. Така че, аз не бих възлагал големи надежди.

съжалявам че съм качил снимка една и съща 2 пъти, но давам на триене от програмата, след това вече не знам честно казано какво следва, вие ще кажете, впрочем дадох на декриптиране но не се справи... сега дадох на целия дял D предполагам нищо няма да стане но

 

п.п. ееее касперски спря да работи, замръзна, ресурните стойности бяха на 0 и сега давам наново сканиране... след като стане всичко готово, давам на изтриване 

преди 14 минути, The Reaper написа:

съжалявам че съм качил снимка една и съща 2 пъти, но давам на триене от програмата, след това вече не знам честно казано какво следва, вие ще кажете, впрочем дадох на декриптиране но не се справи... сега дадох на целия дял D предполагам нищо няма да стане но

Да, дайте Continue за да почисти всички остатъци от червея. Ще поправи и hosts файла, но той го засича заради добавените записи от FitGirl в него.

Колкото до декриптора да...по-скоро можете да видите кои файлове са криптирани...да си ги свалите наново (ако нямате бекъп), а другити вече като не ви трябват като подсказка да ги изтрием.

Общо взето можете да претърсите системата за такива файлове с командите:

Dir /b C:\*.qqkk* /s >> "%userprofile%\desktop\results1.txt"
Dir /b D:\*.qqkk* /s >> "%userprofile%\desktop\results2.txt"

Това би трябвало да създаде списък на файловете от дял C:\ и D:\ съответно на десктопа с имената на лог файловете results1.txt и results2.txt

Като вече не ви трябват можете да стартирате следните 2 команди за да изтриете файловете:

del /F /Q /S "C:\*.qqkk"
del /F /Q /S "D:\*.qqkk"

За финал стартирайте и последния скрипт за FRST, защото има останали 3 невалидни правила в стената на Windows:

fixlist.txt

След това като финална стъпка предлагам да стартирате отново инструмента на Kaspersky (след като вече сте му дали да изтрие намерените зарази от първото сканиране). И след това мисля да обърнем внимание на Windows Update (ако още има проблеми с него) и на други останали проблеми (ако има такива) и да се ориентираме към приключане.

Занапред да си знаете да не стартирате непроверени и непознати файлове от съмнителни източници (ако не са в някаква виртуална среда - Sandboxie или VirtualBox да речем) или поне под сянката на Shadow Defender...

преди 18 часа, B-boy/StyLe/ написа:

Да, дайте Continue за да почисти всички остатъци от червея. Ще поправи и hosts файла, но той го засича заради добавените записи от FitGirl в него.

Колкото до декриптора да...по-скоро можете да видите кои файлове са криптирани...да си ги свалите наново (ако нямате бекъп), а другити вече като не ви трябват като подсказка да ги изтрием.

Общо взето можете да претърсите системата за такива файлове с командите:

Dir /b C:\*.qqkk* /s >> "%userprofile%\desktop\results1.txt"
Dir /b D:\*.qqkk* /s >> "%userprofile%\desktop\results2.txt"

Това би трябвало да създаде списък на файловете от дял C:\ и D:\ съответно на десктопа с имената на лог файловете results1.txt и results2.txt

Като вече не ви трябват можете да стартирате следните 2 команди за да изтриете файловете:

del /F /Q /S "C:\*.qqkk"
del /F /Q /S "D:\*.qqkk"

За финал стартирайте и последния скрипт за FRST, защото има останали 3 невалидни правила в стената на Windows:

fixlist.txt 354 B · 0 изтегляния

След това като финална стъпка предлагам да стартирате отново инструмента на Kaspersky (след като вече сте му дали да изтрие намерените зарази от първото сканиране). И след това мисля да обърнем внимание на Windows Update (ако още има проблеми с него) и на други останали проблеми (ако има такива) и да се ориентираме към приключане.

Занапред да си знаете да не стартирате непроверени и непознати файлове от съмнителни източници (ако не са в някаква виртуална среда - Sandboxie или VirtualBox да речем) или поне под сянката на Shadow Defender...

Така, съжалявам че не писах по скоро, това безсъние ме убива... така, този касперски ми взе душата честно казано 😅 дано да си е заслужавало всичкото чакане, понеже след сканирането продължило не знам си колко часа, му дадох да изтрие всичко, без едно мисля, на него му даваше фикс, та след тази процедура на триене, ми иска рестарт а след рестарта пак си продължи автоматично само да си сканира,... там не съм запазил логове.

Направих това за криптираните файлове с командите, много полезно, адски благодаря

Относно за windows updat-а ами да видим понеже е дразнещо 

Fixlog.txt

Каква грешка дава Windows Update?

Иначе изтегли и стартирай следния файл с десен бутон и Run as administrator.

wu.bat

Рестартирай системата и виж дали се актуализациите работят.

преди 11 минути, B-boy/StyLe/ написа:

Каква грешка дава Windows Update?

Иначе изтегли и стартирай следния файл с десен бутон и Run as administrator.

wu.bat 422 B · 1 изтегляне

Рестартирай системата и виж дали се актуализациите работят.

https://img321.com/view/image/8fe4b95f-3e09-4dd2-9ff3-5fe81091a231

не, разбрах ви мисълта но не е до рестартиране на услугите, в интернет ето какво пише относно тази грешка

https://www.google.bg/search?q=windows+10+update+error0x80070424&sxsrf=ALiCzsZ6xZATkBWEeF7LD7q_NTNo13EmSg%3A1662026832807&source=hp&ei=UIQQY8noLfaLxc8Pppaz6Aw&iflsig=AJiK0e8AAAAAYxCSYGmE8mnp6-JcRJQfhWcqN1SV5kk0&ved=0ahUKEwjJ0OS3rPP5AhX2RfEDHSbLDM0Q4dUDCAc&uact=5&oq=windows+10+update+error0x80070424&gs_lcp=Cgdnd3Mtd2l6EAMyBwgAEB4QogQyBwgAEB4QogQyBQgAEKIEMgUIABCiBDIFCAAQogQ6BAgjECc6BggjECcQEzoLCAAQgAQQsQMQgwE6EQguEIAEELEDEIMBEMcBENEDOgQILhAnOggIABCABBCxAzoOCAAQgAQQsQMQgwEQyQM6BQgAEIAEOgUIABDLAToECAAQDToGCAAQHhANOgYIABANEBM6CggAEB4QCBANEBNQAFin8wFgi_kBaAJwAHgAgAHcAYgBqhSSAQcxNS4xMC4xmAEAoAEB&sclient=gws-wiz

Аз не съм казал, че идеята е да се рестартират услугите. Попитах каква грешка дава самия клиент! А това, че в bat файла услугите са пригодени да се рестартират е за да могат да се изтрият използваните от тях папки (което не може да стане докато услугите работят)!

Пробвай следното:

Изтегли Tweaking.com Windows Repair

http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip

Зареди в Safe Mode, разархивирай и стартирай инструмента от Repair_Windows.exe => отвори Jump To Repairs => Open Repairs => постави отметки пред 1,2,3,4,5,10,14,15,16,20,25,26,28,32

Натисни Start Repairs вдясно и не ползвай системата докато се извършват поправките и след това зареди в Normal Mode и опитай отново.

 

преди 43 минути, B-boy/StyLe/ написа:

Аз не съм казал, че идеята е да се рестартират услугите. Попитах каква грешка дава самия клиент! А това, че в bat файла услугите са пригодени да се рестартират е за да могат да се изтрият използваните от тях папки (което не може да стане докато услугите работят)!

Пробвай следното:

Изтегли Tweaking.com Windows Repair

http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip

Зареди в Safe Mode, разархивирай и стартирай инструмента от Repair_Windows.exe => отвори Jump To Repairs => Open Repairs => постави отметки пред 1,2,3,4,5,10,14,15,16,20,25,26,28,32

Натисни Start Repairs вдясно и не ползвай системата докато се извършват поправките и след това зареди в Normal Mode и опитай отново.

 

ee Да това стана, получи се, всичко сега работи, и microsoft stor-a зареди и всичко е точно

Останаха ли някакви проблеми или вече всичко е наред? Може да видя една финална проверка от FRST за всеки случай. Като имаш време пусни и KVRT някоя вечер докато си на работа за да се види дали при повторната проверка би открил нещо.

Остава да дам инструкции как да деинсталираме използваните от нас инструменти и финални препоръки и сме готови.

преди 23 минути, B-boy/StyLe/ написа:

Останаха ли някакви проблеми или вече всичко е наред? Може да видя една финална проверка от FRST за всеки случай. Като имаш време пусни и KVRT някоя вечер докато си на работа за да се види дали при повторната проверка би открил нещо.

Остава да дам инструкции как да деинсталираме използваните от нас инструменти и финални препоръки и сме готови.

сякаш всичко е наред вече, но вижте все пак в логовете има ли нещо, иначе не наблюдавам необичайно поведение

Addition.txt FRST.txt

Изглеждат наред вече , но ми се струва, че имате някоя пиратска програма, която е заразена и от която се опитва да тръгне заразата, защото според логовете Windows Defender отново е изтрил 2 файла късно вечерта...

Има проблем с една услуга и една забрана за Windows Update, както и с някои winsock записи в регистрите. Мисля да оправим и Hosts файла. Пуснете този надявам се последен скрипт и прикачете новия Fixlog.txt.

fixlist.txt

Видях и някои адуерчета в настройките на браузърите. Пуснете и едно почистване с AdwCleaner:

https://www.kaldata.com/софтуер/adwcleaner-103982.html

и прикачете лог файла.

преди 18 минути, B-boy/StyLe/ написа:

Изглеждат наред вече , но ми се струва, че имате някоя пиратска програма, която е заразена и от която се опитва да тръгне заразата, защото според логовете Windows Defender отново е изтрил 2 файла късно вечерта...

Има проблем с една услуга и една забрана за Windows Update, както и с някои wisock записи в регистрите. Мисля да оправим и Hosts файла. Пуснете този надявам се последен скрипт и прикачете новия Fixlog.txt.

fixlist.txtUnavailable

Видях и някои адуерчета в настройките на браузърите. Пуснете и едно почистване с AdwCleaner:

https://www.kaldata.com/софтуер/adwcleaner-103982.html

и прикачете лог файла.

https://img321.com/view/image/78f9d6f8-6be7-44f6-b3ad-8c1958b6fa25

https://img321.com/view/image/b8f7a39c-6f5e-4093-9738-39436f9ecdf6

не посмях да трия, без да питам, трия ли ги ?

Fixlog.txt

 

п.п. аз не споменах мисля, може да е важно може да не е, кратко след заразата профила ми във "фейсбук" е бил блокиран по тяхните правила, заради неетично публикуване и ми изписа че в 30 дневен срок ще се преразгледа решението дали да се деблокира или не

https://img321.com/view/image/a775c90b-0e7e-4fc8-9c46-68141584386f

също така тези двете не съм ги слагал... не знам, даунлоадъра показва 0 кв, 0 всичко, вчера мисля го махнах от хром..., възможно ли е хрома да е пострадал също, а и да спомена че и стийм-а се държеше странно на 2 пъти, под странно ами името, ник-нейма ми беше някакъв китайски или японски не съм сигуре, преименувах го после гледам пак се е променил и след 2рото преименуване не съм наблюдавал такива истории но....

преди 33 минути, The Reaper написа:

https://img321.com/view/image/78f9d6f8-6be7-44f6-b3ad-8c1958b6fa25

https://img321.com/view/image/b8f7a39c-6f5e-4093-9738-39436f9ecdf6

не посмях да трия, без да питам, трия ли ги ?

Да остане Preinstalled.SamsungSmartSwitch (демек махни отметката от първата снимка), от втората снимка и двата обекта са за триене.

преди 37 минути, The Reaper написа:

https://img321.com/view/image/a775c90b-0e7e-4fc8-9c46-68141584386f

 

също така тези двете не съм ги слагал... не знам, даунлоадъра показва 0 кв, 0 всичко, вчера мисля го махнах от хром..., възможно ли е хрома да е пострадал също, а и да спомена че и стийм-а се държеше странно на 2 пъти, под странно ами името, ник-нейма ми беше някакъв китайски или японски не съм сигуре, преименувах го после гледам пак се е променил и след 2рото преименуване не съм наблюдавал такива истории но....

Тези двете са точно от адуера и предполагам първия ще е само празен запис. Деинсталирай и двете с Revo.

Със сигурност е възможно да има променени настройки в Chrome. Не е зле да му направиш един Reset (като преди това спреш синхронизацията с облака му):

https://support.google.com/chrome/answer/185277?hl=bg

и след това възстановиш настройките по подразбиране:

https://support.google.com/chrome/answer/3296214?hl=bg

Огледай и добавките. Ако след резет-а са останали е добре да премахнеш

Find-it.Pro Search, YoutubeDownloader И други които не си качвал ти.

Бих премахнал и следната от Edge (ако не е качвана от теб):

T-Сashback — кэшбэк-сервис

Желателно е да смениш и паролите си с нови, защото имаше и доста троянци (крадци на данни).

Не ми харесва, че в %TEMP% папката се качват идентични и странни файлове, може да са от легитимна програма, но виж с Process Explorer да речем от кой процес се използват:

C:\Users\admin\AppData\Local\Temp\2040805e-fa26-4250-84df-2edab479c1d7.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\29eea78e-d2f2-4621-9dca-af17f6f4b9f4.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\2e6302eb-6db9-4ffe-a948-eb1e110ae54f.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\4a4424b1-f35a-4db1-b3e9-a0c65e607d62.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\5593666a-0ec8-45c2-b42a-21ca97cec367.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\5fdd555d-2baf-4b2d-bb83-fba924a1e895.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\7aad9448-bbc1-408b-9ae3-8f05555712f4.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\e3cc4061-94dc-4295-91d7-03a779cebfd2.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\f14d946d-bd8c-4a65-ae79-36101a54b1cf.tmp - The process cannot access the file because it is being used by another process.

Ще изчакам няколко дни преди да кажа как да изтриеш инструментите с които сме работили и да маркирам темата като решена.

Поздрави!

преди 2 часа, B-boy/StyLe/ написа:

Да остане Preinstalled.SamsungSmartSwitch (демек махни отметката от първата снимка), от втората снимка и двата обекта са за триене.

Тези двете са точно от адуера и предполагам първия ще е само празен запис. Деинсталирай и двете с Revo.

Със сигурност е възможно да има променени настройки в Chrome. Не е зле да му направиш един Reset (като преди това спреш синхронизацията с облака му):

https://support.google.com/chrome/answer/185277?hl=bg

и след това възстановиш настройките по подразбиране:

https://support.google.com/chrome/answer/3296214?hl=bg

Огледай и добавките. Ако след резет-а са останали е добре да премахнеш

Find-it.Pro Search, YoutubeDownloader И други които не си качвал ти.

Бих премахнал и следната от Edge (ако не е качвана от теб):

T-Сashback — кэшбэк-сервис

Желателно е да смениш и паролите си с нови, защото имаше и доста троянци (крадци на данни).

Не ми харесва, че в %TEMP% папката се качват идентични и странни файлове, може да са от легитимна програма, но виж с Process Explorer да речем от кой процес се използват:

C:\Users\admin\AppData\Local\Temp\2040805e-fa26-4250-84df-2edab479c1d7.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\29eea78e-d2f2-4621-9dca-af17f6f4b9f4.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\2e6302eb-6db9-4ffe-a948-eb1e110ae54f.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\4a4424b1-f35a-4db1-b3e9-a0c65e607d62.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\5593666a-0ec8-45c2-b42a-21ca97cec367.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\5fdd555d-2baf-4b2d-bb83-fba924a1e895.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\7aad9448-bbc1-408b-9ae3-8f05555712f4.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\e3cc4061-94dc-4295-91d7-03a779cebfd2.tmp - The process cannot access the file because it is being used by another process.
C:\Users\admin\AppData\Local\Temp\f14d946d-bd8c-4a65-ae79-36101a54b1cf.tmp - The process cannot access the file because it is being used by another process.

Ще изчакам няколко дни преди да кажа как да изтриеш инструментите с които сме работили и да маркирам темата като решена.

Поздрави!

Лога от сканирането с adwcleaner... махнах с ревото тези двете, не се стартира деинсталатора им като хората но рево-то ди изтри... аз синхронизацията съм я спрял още вчера, само се извинявам за глупавия въпрос но как точно да проверя процесите с process exploarer, това от контролния панел някъде ли се правеше

p.p. https://img321.com/view/image/b67dc20d-f5cd-4cfc-9d0c-26325a7dec3f първите 3 процеса нямам идея какви са, 4рия също не ми напомня за нищо...

AdwCleaner[C00].txt

Изтрили сте и SamsungSmartSwitch, за която казах да не я триете ако я ползвате, но нищо. Винаги може да си я инсталирате наново.

Процесите са наред. Аз имах предвид с външен инструмент като този на Sysinternals (Process Explorer и Process Monitor) да видите за какво става въпрос, но зарежете, защото те ще са ви трудни.

Има и по-лесни ако ви се занимава като FolderChangesView или Everything от VoidTools. Може просто да наблюдавате за няколко дни дали ще се появяват такива файлове TEMP папката (в адресната лента поставете %temp% и натиснете Enter).

Ако има някои от следните файлове:

C:\Users\admin\AppData\Local\Temp\2040805e-fa26-4250-84df-2edab479c1d7.tmp

го копирайте някъде и го качете на dox.bg и публикувайте линка за да го разгледам просто.

Направете и една проверка на дял C:\ с Windows Defender:

Изберете Custom Scan и посочете дял C:\

и го оставете да сканира и пишете дали е намерило някакви зловредни остатъци.

https://www.bleepingcomputer.com/tutorials/how-to-use-windows-defender-to-scan-a-folder-for-malware/

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Поздрави и спокойна седмица!

преди 16 часа, B-boy/StyLe/ написа:

Изтрили сте и SamsungSmartSwitch, за която казах да не я триете ако я ползвате, но нищо. Винаги може да си я инсталирате наново.

Процесите са наред. Аз имах предвид с външен инструмент като този на Sysinternals (Process Explorer и Process Monitor) да видите за какво става въпрос, но зарежете, защото те ще са ви трудни.

Има и по-лесни ако ви се занимава като FolderChangesView или Everything от VoidTools. Може просто да наблюдавате за няколко дни дали ще се появяват такива файлове TEMP папката (в адресната лента поставете %temp% и натиснете Enter).

Ако има някои от следните файлове:

C:\Users\admin\AppData\Local\Temp\2040805e-fa26-4250-84df-2edab479c1d7.tmp

го копирайте някъде и го качете на dox.bg и публикувайте линка за да го разгледам просто.

Направете и една проверка на дял C:\ с Windows Defender:

Изберете Custom Scan и посочете дял C:\

и го оставете да сканира и пишете дали е намерило някакви зловредни остатъци.

https://www.bleepingcomputer.com/tutorials/how-to-use-windows-defender-to-scan-a-folder-for-malware/

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Поздрави и спокойна седмица!

Лог-а от Кпрм, след сканиране със windows defender-a на пръв поглед не откри нищо.. Ще се поразровя в интернет отностно процесите които се изпълняват, с process exloarer ми се струва че ще мога да се справя, ако не ще погледва в ютюб относно... 

http://alfa.kachi-snimka.info/vij2021.php?id=viu1662115110v.png не знам дали се е качила снимката, от въпросната % темп% папка

Ако е това на този етап, огрноми благодарности B-boy/StyLe/  просто след като изброихте видовете вируси прикрипили се, си рекох въобще ще има ли справяне, но вие си знаете работата, отново мерси лек и спокоен ден от мен! 😇

kprm-20220902132746.txt