Постоянно удаляется "троянская программа"

[АлександрВолков]

вот лог за 5 дней

 

[АлександрВолков]

за 30 сюда уже не загрузить, превышает макс. допустимый размер

 

[safety]

судя по логу проблема с неожиданной перезагрузкой тянется с 1-2 мая.

"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:11:14 ;
"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:18:06 ;
"Entry" = "Вход был неожиданно завершен." 01/05/2017 06:56:25 ;
"Entry" = "Имя сбойного приложения: lsass.exe, версия: 6.1.7601.23539, отметка времени: 0x57c99284
Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x000000006d7814d5
Идентификатор сбойного процесса: 0x304
Время запуска сбойного приложения: 0x01d2bfe0ea901493
Путь сбойного приложения: C:\Windows\system32\lsass.exe
Путь сбойного модуля: unknown
Код отчета: 2dc48c32-2ef9-11e7-b024-d8cb8a338653" 02/05/2017 05:35:41 ;

"Entry" = "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить компьютер." 02/05/2017 05:35:52 ;

---------------
пробуйте из командной строки, запущенной с правами администратора выполнить проверку целостности системы.

sfc /scannow

если не поможет, попробуйте откатить систему на момент, когда не было явно этой проблемы. (с неожиданной перезагрузкой системы)

 

[safety]

судя по карантину проблемы начались с апреля, когда был получен загрузчик

D0EE0DC7D4FD686AEC3FD04368A2CDA4F8FDAC1D.NDF "хттп://23.88.239.3/d/un.rar" "@NAME=Win32/TrojanDownloader.Agent.DIB@TYPE=Trojan@SUSP=mod" 24.04.2017 1877504 bytes

и он стал закачивать в систему майнеры.

A4C4C27962960852B542F25DA9E87F8F13398FA5.NDF "C:\Windows\Temp\Tmp8C91.tmp";"C:\Windows\Temp\Tmp6562.tmp";"C:\Windows\Temp\Tmp580A.tmp";"C:\Windows\Temp\Tmp501E.tmp";"C:\Windows\Temp\Tmp29D9.tmp";"C:\Windows\Temp\Tmp133D.tmp";"C:\Windows\Temp\TmpFA22.tmp";"C:\Windows\Temp\TmpEDF2.tmp";"C:\Windows\Temp\TmpD228.tmp";"C:\Windows\Temp\TmpBAD1.tmp";"C:\Windows\Temp\TmpA687.tmp";"C:\Windows\Temp\Tmp901A.tmp";"C:\Windows\Temp\Tmp7A87.tmp";"C:\Windows\Temp\Tmp114A.tmp";"C:\Windows\Temp\TmpF0C0.tmp";"C:\Windows\Temp\TmpD3FC.tmp";"C:\Windows\Temp\TmpB70A.tmp";"C:\Windows\Temp\TmpA4C2.tmp";"C:\Windows\Temp\Tmp9529.tmp";"C:\Windows\Temp\Tmp7DD2.tmp";"C:\Windows\Temp\Tmp69E5.tmp";"C:\Windows\Temp\Tmp58B6.tmp";"C:\Windows\Temp\Tmp4111.tmp";"C:\Windows\Temp\Tmp293D.tmp";"C:\Windows\Temp\Tmp137C.tmp";"C:\Windows\Temp\Tmp337.tmp";"C:\Windows\Temp\TmpEB92.tmp";"C:\Windows\Temp\TmpD15E.tmp";"C:\Windows\Temp\TmpBFC1.tmp";"C:\Windows\Temp\TmpD757.tmp";"C:\Windows\Temp\TmpC731.tmp";"C:\Windows\Temp\TmpB16F.tmp";"C:\Windows\Temp\TmpB96B.tmp";"C:\Windows\Temp\Tmp9F95.tmp";"C:\Windows\Temp\Tmp7940.tmp";"C:\Windows\Temp\Tmp5240.tmp";"C:\Windows\Temp\Tmp3500.tmp";"C:\Windows\Temp\Tmp2853.tmp";"C:\Windows\Temp\Tmp827.tmp";"C:\Windows\Temp\Tmp53A.tmp";"C:\Windows\Temp\TmpE8A5.tmp";"C:\Windows\Temp\TmpCA7B.tmp";"C:\Windows\Temp\Tmp9BFC.tmp";"C:\Windows\Temp\Tmp1F10.tmp";"C:\Windows\Temp\TmpFD7D.tmp";"C:\Windows\Temp\Tmp9577.tmp";"C:\Windows\Temp\Tmp8419.tmp";"C:\Windows\Temp\TmpC0FA.tmp";"C:\Windows\Temp\Tmp118A.tmp";"C:\Windows\Temp\Tmp54A2.tmp";"C:\Windows\Temp\Tmp4294.tmp";"C:\Windows\Temp\Tmp213F.tmp";"C:\Windows\Temp\Tmp4AA.tmp";"C:\Windows\Temp\TmpF790.tmp";"C:\Windows\Temp\TmpFB48.tmp";"C:\Windows\Temp\TmpBE29.tmp";"C:\Windows\Temp\TmpD081.tmp";"C:\Windows\Temp\TmpB88E.tmp";"C:\Windows\Temp\TmpB505.tmp";"C:\Windows\Temp\Tmp3184.tmp";"C:\Windows\Temp\TmpFE35.tmp";"C:\Windows\Temp\Tmp9C77.tmp";"C:\Windows\Temp\TmpC0D8.tmp";"C:\Windows\Temp\Tmp9FA2.tmp";"C:\Windows\Temp\Tmp1676.tmp";"C:\Windows\Temp\Tmp4C84.tmp";"C:\Windows\Temp\Tmp7F18.tmp";"C:\Windows\Temp\Tmp8742.tmp";"C:\Windows\Temp\TmpA241.tmp";"C:\Windows\Temp\Tmp799C.tmp";"C:\Windows\Temp\TmpFD7B.tmp";"C:\Windows\Temp\TmpBE0B.tmp";"C:\Windows\Temp\Tmp96BD.tmp";"C:\Windows\Temp\Tmp88C9.tmp";"C:\Windows\Temp\Tmp5AC7.tmp";"C:\Windows\Temp\Tmp4B9A.tmp";"C:\Windows\Temp\Tmp4DEB.tmp";"C:\Windows\Temp\TmpF206.tmp";"C:\Windows\Temp\TmpB738.tmp";"C:\Windows\Temp\TmpA389.tmp";"C:\Windows\Temp\Tmp8E06.tmp";"C:\Windows\Temp\Tmp813A.tmp";"C:\Windows\Temp\Tmp5F3A.tmp";"C:\Windows\Temp\Tmp4CE2.tmp";"C:\Windows\Temp\Tmp3463.tmp";"C:\Windows\Temp\TmpB8F.tmp";"C:\Windows\Temp\TmpE47F.tmp";"C:\Windows\Temp\TmpCDE4.tmp";"C:\Windows\Temp\Tmp9CB6.tmp";"C:\Windows\Temp\TmpBFFF.tmp";"C:\Windows\Temp\Tmp70E6.tmp";"C:\Windows\Temp\TmpA242.tmp";"C:\Windows\Temp\Tmp6E57.tmp";"C:\Windows\Temp\TmpF84E.tmp";"C:\Windows\Temp\Tmp9A37.tmp";"C:\Windows\Temp\Tmp1CCE.tmp";"C:\Windows\Temp\Tmp1F8C.tmp";"C:\Windows\Temp\Tmp79FB.tmp";"C:\Windows\Temp\Tmp68EB.tmp";"C:\Windows\Temp\Tmp3F0E.tmp";"C:\Windows\Temp\Tmp3ABA.tmp";"C:\Windows\Temp\TmpC405.tmp";"C:\Windows\Temp\TmpE2EA.tmp";"C:\Windows\Temp\TmpB72A.tmp";"C:\Windows\Temp\Tmp6D8D.tmp";"C:\Windows\Temp\Tmp5433.tmp";"C:\Windows\Temp\Tmp858F.tmp";"C:\Windows\Temp\Tmp491C.tmp";"C:\Windows\Temp\Tmp4297.tmp";"C:\Windows\Temp\TmpFE4.tmp";"C:\Windows\Temp\Tmp7F8.tmp";"C:\Windows\Temp\Tmp3648.tmp";"C:\Windows\Temp\Tmp1235.tmp";"C:\Windows\Temp\Tmp87A2.tmp";"C:\Windows\Temp\Tmp113B.tmp";"C:\Windows\Temp\Tmp7116.tmp";"C:\Windows\Temp\TmpE877.tmp";"C:\Windows\Temp\Tmp3B38.tmp";"C:\Windows\Temp\TmpD0C2.tmp";"C:\Windows\Temp\Tmp8551.tmp";"C:\Windows\Temp\TmpFF70.tmp";"C:\Windows\Temp\TmpF746.tmp";"C:\Windows\Temp\Tmp6DAD.tmp";"C:\Windows\Temp\TmpF073.tmp";"C:\Windows\Temp\TmpB90E.tmp";"C:\Windows\Temp\Tmp3EA2.tmp";"C:\Windows\Temp\Tmp74D.tmp";"C:\Windows\Temp\Tmp8C3.tmp";"C:\Windows\Temp\Tmp7F78.tmp";"C:\Windows\Temp\Tmp77DA.tmp";"C:\Windows\Temp\Tmp5D2A.tmp";"C:\Windows\Temp\Tmp5482.tmp";"C:\Windows\Temp\Tmp46FB.tmp";"C:\Windows\Temp\Tmp1B1B.tmp";"C:\Windows\Temp\TmpF811.tmp";"C:\Windows\Temp\TmpF553.tmp";"C:\Windows\Temp\TmpD832.tmp";"C:\Windows\Temp\TmpCDD6.tmp";"C:\Windows\Temp\TmpAF9D.tmp";"C:\Windows\Temp\Tmp9875.tmp";"C:\Windows\Temp\Tmp9B61.tmp";"C:\Windows\Temp\Tmp7211.tmp";"C:\Windows\Temp\Tmp7922.tmp";"C:\Windows\Temp\Tmp5869.tmp";"C:\Windows\Temp\Tmp3511.tmp";"C:\Windows\Temp\Tmp24DB.tmp";"C:\Windows\Temp\Tmp22E8.tmp";"C:\Windows\Temp\TmpF840.tmp";"C:\Windows\Temp\TmpE50E.tmp";"C:\Windows\Temp\TmpDA35.tmp";"C:\Windows\Temp\TmpAD8A.tmp";"C:\Windows\Temp\Tmp93A4.tmp";"C:\Windows\Temp\Tmp8468.tmp";"C:\Windows\Temp\Tmp6C47.tmp";"C:\Windows\Temp\Tmp6007.tmp";"C:\Windows\Temp\Tmp473A.tmp";"C:\Windows\Temp\Tmp3714.tmp";"C:\Windows\Temp\Tmp1C25.tmp";"C:\Windows\Temp\TmpE1F3.tmp";"C:\Windows\Temp\TmpBE5C.tmp";"C:\Windows\Temp\TmpAFDB.tmp";"C:\Windows\Temp\TmpABD6.tmp";"C:\Windows\Temp\Tmp7C3E.tmp";"C:\Windows\Temp\Tmp705C.tmp";"C:\Windows\Temp\Tmp5EEF.tmp";"C:\Windows\Temp\Tmp508D.tmp";"C:\Windows\Temp\Tmp4A94.tmp";"C:\Windows\Temp\Tmp2BDE.tmp";"C:\Windows\Temp\TmpB15.tmp";"C:\Windows\Temp\TmpE55D.tmp";"C:\Windows\Temp\TmpDEC8.tmp";"C:\Windows\Temp\TmpB642.tmp";"C:\Windows\Temp\Tmp9318.tmp";"C:\Windows\Temp\Tmp70D9.tmp";"C:\Windows\Temp\Tmp3C62.tmp";"C:\Windows\Temp\TmpD621.tmp";"C:\Windows\Temp\TmpB1CF.tmp";"C:\Windows\Temp\TmpA5AF.tmp";"C:\Windows\Temp\Tmp92CB.tmp";"C:\Windows\Temp\Tmp6FFF.tmp";"C:\Windows\Temp\Tmp55CB.tmp";"C:\Windows\Temp\Tmp32B1.tmp";"C:\Windows\Temp\Tmp26DF.tmp";"C:\Windows\Temp\TmpFFEF.tmp";"C:\Windows\Temp\TmpE57C.tmp";"C:\Windows\Temp\TmpD65F.tmp";"C:\Windows\Temp\Tmp9F39.tmp";"C:\Windows\Temp\TmpAACD.tmp";"C:\Windows\Temp\Tmp496C.tmp";"C:\Windows\Temp\Tmp2CE8.tmp";"C:\Windows\Temp\Tmp12B4.tmp";"C:\Windows\Temp\Tmp4DE.tmp";"C:\Windows\Temp\TmpDE9A.tmp";"C:\Windows\Temp\TmpCD2C.tmp";"C:\Windows\Temp\TmpA80F.tmp";"C:\Windows\Temp\Tmp92DB.tmp";"C:\Windows\Temp\Tmp5EFF.tmp";"C:\Windows\Temp\Tmp4039.tmp";"C:\Windows\Temp\Tmp2837.tmp";"C:\Windows\Temp\Tmp49AB.tmp";"C:\Windows\Temp\Tmp14D6.tmp";"C:\Windows\Temp\TmpE251.tmp";"C:\Windows\Temp\TmpAF60.tmp";"C:\Windows\Temp\Tmp9164.tmp";"C:\Windows\Temp\Tmp6391.tmp";"C:\Windows\Temp\Tmp530E.tmp";"C:\Windows\Temp\Tmp39A4.tmp";"C:\Windows\Temp\Tmp226D.tmp";"C:\Windows\Temp\TmpCBB.tmp";"C:\Windows\Temp\TmpFBCA.tmp";"C:\Windows\Temp\TmpE898.tmp";"C:\Windows\Temp\TmpD5C4.tmp";"C:\Windows\Temp\TmpBF76.tmp";"C:\Windows\Temp\TmpAD2E.tmp";"C:\Windows\Temp\Tmp99BE.tmp";"C:\Windows\Temp\Tmp815E.tmp";"C:\Windows\Temp\Tmp6DDE.tmp";"C:\Windows\Temp\Tmp55EB.tmp";"C:\Windows\Temp\TmpF9E7.tmp";"C:\Windows\Temp\TmpA3C.tmp";"C:\Windows\Temp\Tmp32A.tmp";"C:\Windows\Temp\TmpE030.tmp";"C:\Windows\Temp\TmpAA80.tmp";"C:\Windows\Temp\Tmp8A44.tmp";"C:\Windows\Temp\Tmp7685.tmp";"C:\Windows\Temp\Tmp6288.tmp";"C:\Windows\Temp\Tmp492F.tmp";"C:\Windows\Temp\Tmp3320.tmp";"C:\Windows\Temp\Tmp1F13.tmp";"C:\Windows\Temp\TmpEFD.tmp";"C:\Windows\Temp\TmpF5F1.tmp";"C:\Windows\Temp\TmpE0DC.tmp";"C:\Windows\Temp\TmpE214.tmp";"C:\Windows\Temp\TmpC34E.tmp";"C:\Windows\Temp\TmpA66B.tmp";"C:\Windows\Temp\Tmp8E78.tmp";"C:\Windows\Temp\Tmp7CAD.tmp";"C:\Windows\Temp\Tmp6650.tmp";"C:\Windows\Temp\Tmp5179.tmp";"C:\Windows\Temp\Tmp367A.tmp";"C:\Windows\Temp\Tmp1FAF.tmp";"C:\Windows\Temp\Tmp160F.tmp";"C:\Windows\Temp\TmpF861.tmp";"C:\Windows\Temp\TmpEEEF.tmp";"C:\Windows\Temp\TmpC87C.tmp";"C:\Windows\Temp\TmpB421.tmp";"C:\Windows\Temp\TmpA082.tmp";"C:\Windows\Temp\Tmp907B.tmp";"C:\Windows\Temp\Tmp8EE6.tmp";"C:\Windows\Temp\Tmp62F6.tmp";"C:\Windows\Temp\Tmp4C0D.tmp";"C:\Windows\Temp\Tmp1B0E.tmp";"C:\Windows\Temp\Tmp608.tmp";"C:\Windows\Temp\TmpD7B8.tmp";"C:\Windows\Temp\TmpAFDE.tmp";"C:\Windows\Temp\Tmp9EAE.tmp" "@NAME=Win32/CoinMiner.AFT@TYPE=Trojan@SUSP=inf" 30.04.2017 1132544 bytes

 

[safety]

что касается этой записи:

2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E.NDF "хттп://47.88.216.68:8888/test.dat" "@NAME=Win32/Packed.NoobyProtect.L@TYPE=ApplicUnwnt@SUSP=mod" 04.05.2017 1217024 bytes

то здесь непонятно, почему легитимное системное приложение C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE обращается по данному адресу.

 

[АлександрВолков]

ага, понял. Сканирование на целостность я сделал, нарушений нет. Попробую откат. А с загрузчиком троянов можно как-то бороться, что посоветуете?

 

[safety]

если откатите систему, сделайте новый образ автозапуска, еще раз все проверим.

как бороться: ставим антивирус, желательно с фаерволлом, и регулярным обновлением.

 

[АлександрВолков]

ставим антивирус, желательно с фаерволлом, и регулярным обновлением.

да вот ESEТ регулярно обновляется, и неплохо работает( на мой взгляд), и все равно пропустил. Кстати, после отката возникла проблема с обновлением баз антивируса. Вот образ автозапуска

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %Sys32%\TASKS\CROPHIT
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERNETWORKSERVICE.LOG
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\USERS\33F8~1\APPDATA\LOCAL\TEMP\HYD27BC.TMP.1479053164\HTA\3RDPARTY\FS.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref F:\LENOVO_SUITE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

CreateRestorePoint:
2017-04-25 19:22 - 2017-04-25 19:22 - 0005818 _____ () C:\ProgramData\666.exe
Task: {0B9C84BA-F9E1-4C68-9940-12E236412F0A} - \Runtime -> No File <==== ATTENTION
Task: {DCF0805B-A8F3-4B16-987D-98675244E672} - \VKSaverUpdate -> No File <==== ATTENTION
CMD: wevtutil.exe epl System system.evtx
CMD: wevtutil.exe epl Application Application.evtx
CMD: c:\Progra~1\7-Zip\7z.exe a -t7z -mx9 -m0=ppmd:o=32:mem=768m events.7z *.evtx
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в личном сообщении.

 

[АлександрВолков]

пока все "тихо" вроде) вот фикслог и лог событий

 

[Vvvyg]

К вашему компьютеру подключаются по RDP (удалённый рабочий стол) - так и задумано?

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

 

[АлександрВолков]

К вашему компьютеру подключаются по RDP (удалённый рабочий стол) - так и задумано?

нет конечно) домашний компьютер вроде. Вот требуемый чек-файл

 

[Vvvyg]

Автоматическое обновление отключено

Почему?

Службы удаленных рабочих столов (TermService) - Служба остановлена

Отключите службу полностью.

ESET Endpoint Antivirus 5.0 (включен и обновлен)

6-я версия больше года как вышла, есть вариант легального обновления?

Adobe Flash Player 25 PPAPI v.25.0.0.127 Внимание! Скачать обновления
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 44.0.2510.857 v.44.0.2510.857 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Эти программы, особенно от Adobe, обновлять обязательно, дыр много.

 

[АлександрВолков]

Автоматическое обновление отключено
Почему?

вы про антивирусник? Если по него, то вчера делал откат системы, из-за этого возник конфликт обновления баз, в штатном режиме отключил обновления на 12 часов. Сейчас нормально обновляется, уже не отключено.

Службы удаленных рабочих столов (TermService) - Служба остановлена
Отключите службу полностью.

Убрал галочку напротив службы, теперь она отключена полностью, правильно?

ESET Endpoint Antivirus 5.0 (включен и обновлен)
6-я версия больше года как вышла, есть вариант легального обновления?

нет, вряд ли. Хотя эту мне устанавливали недавно, примерно в январе-феврале.

 

[Vvvyg]

вы про антивирусник?

Нет, я про обновление системы.

Отключить службу - ПКМ по "Мой компьютер" -> Управление -> Службы, смотрите скриншот: https://yadi.sk/i/C3G6Ay_F3Hiouz

 

[АлександрВолков]

Нет, я про обновление системы.

а должна быть включена? система не лицензионная.

Отключить службу - ПКМ по "Мой компьютер" -> Управление -> Службы, смотрите скриншот: https://yadi.sk/i/C3G6Ay_F3Hiouz

служба отключена

 

[АлександрВолков]

служба отключена. Да, и обновления по вашей рекомедации выполнил, спасибо.

 

[Vvvyg]

Тогда норм.

 

[АлександрВолков]

Да уж) Спасибо Вам и safety за вашу помощь! Головы у вас светлые Если что-то еще всплывет, я отпишусь. Но похоже, чисто, во всяком случае, чище чем раньше. Спасибо еще раз!