Антивирусом найден BitCoinMiner и никаких больше шагов. Компьютер ужасно тормозит, запускается долго. В соц.сети доступа нет и на других сайтах вылезает баннер, постоянно приходится обновлять хост.
Антивирусом найден BitCoinMiner и никаких больше шагов. Компьютер ужасно тормозит, запускается долго. В соц.сети доступа нет и на других сайтах вылезает баннер, постоянно приходится обновлять хост.
Уважаемый(ая) nyu, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZPMStatus(false); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\cmd.exe'); TerminateProcessByName('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe'); TerminateProcessByName('c:\users\Димас\appdata\roaming\web\wininit.exe'); TerminateProcessByName('c:\users\Димас\appdata\roaming\flash\cgminer.exe'); QuarantineFile('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater\RUpdate.exe',''); QuarantineFile('C:\Users\Димас\AppData\Local\Mail.Ru\MailRuUpdater.exe',''); QuarantineFile('C:\Users\Димас\appdata\roaming\flash\cgminer.exe',''); QuarantineFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\svchost.exe',''); QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe',''); QuarantineFile('C:\Users\Димас\AppData\Roaming\web\xvid.bat',''); QuarantineFile('C:\Users\Димас\AppData\Roaming\web\xvid.vbs',''); QuarantineFile('C:\Users\Димас\AppData\Roaming\Flash\update.vbs',''); QuarantineFile('C:\Users\Димас\AppData\Roaming\Avobt\qigyh.exe',''); QuarantineFile('c:\users\Димас\appdata\roaming\web\wininit.exe',''); QuarantineFile('c:\users\Димас\appdata\roaming\flash\cgminer.exe',''); DeleteFile('c:\users\Димас\appdata\roaming\flash\cgminer.exe','32'); DeleteFile('c:\users\Димас\appdata\roaming\web\wininit.exe','32'); DeleteFile('C:\Users\Димас\AppData\Local\Temp\Rar$EX29.425\hstart.exe','32'); DeleteFile('C:\Users\Димас\AppData\Roaming\web\xvid.bat'); RegKeyParamDel('HKEY_USERS','S-1-5-21-2505825086-2734480239-2672822498-1001\Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2'); DeleteFile('C:\Users\Димас\AppData\Roaming\Avobt\qigyh.exe','32'); DeleteFile('C:\Users\Димас\AppData\Roaming\Flash\update.vbs','32'); DeleteFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\svchost.exe','32'); DeleteFile('C:\Users\Димас\AppData\Roaming\web\xvid.vbs','32'); DeleteFile('C:\Users\Димас\qrjhhbtg.exe','32'); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\Windows\Tasks\At2.job','32'); DeleteFile('C:\Windows\Tasks\At3.job','32'); DeleteFile('C:\Windows\Tasks\At4.job','32'); DeleteFile('C:\Windows\Tasks\At5.job','32'); DeleteFile('C:\Windows\Tasks\At6.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); DeleteFile('C:\Windows\system32\Tasks\At2','32'); DeleteFile('C:\Windows\system32\Tasks\At3','32'); DeleteFile('C:\Windows\system32\Tasks\At4','32'); DeleteFile('C:\Windows\system32\Tasks\At5','32'); DeleteFile('C:\Windows\system32\Tasks\At6','32'); DeleteFile('C:\Windows\system32\Tasks\DSite','32'); DeleteFile('C:\Windows\system32\Tasks\HstartUAC','32'); DeleteFile('C:\Windows\system32\Tasks\ksbmspn','32'); DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32'); DeleteFile('C:\Users\Димас\appdata\roaming\flash\cgminer.exe','32'); DeleteFile('C:\Users\Димас\AppData\Local\Mail.Ru\MailRuUpdater.exe','32'); DeleteFile('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater\RUpdate.exe','32'); DeleteFileMask('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater','*',true); DeleteDirectory('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater'); DeleteFileMask('C:\Users\Димас\AppData\Local\Mail.Ru','*',true); DeleteDirectory('C:\Users\Димас\AppData\Local\Mail.Ru'); DeleteFileMask('c:\users\Димас\appdata\roaming\web','*',true); DeleteDirectory('c:\users\Димас\appdata\roaming\web'); DeleteFileMask('C:\Users\Димас\AppData\Roaming\Flash','*',true); DeleteDirectory('C:\Users\Димас\AppData\Roaming\Flash'); DeleteFileMask('C:\Users\Димас\AppData\Roaming\Avobt','*',true); DeleteDirectory('C:\Users\Димас\AppData\Roaming\Avobt'); DelBHO('{520BD054-EEEE-487c-84E8-D5B2DFFE5C18}'); DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}'); DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}'); DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelBHO('{84FF7BD6-B47F-46F8-9130-01B2696B36CB}'); DelBHO('{0FB6A909-6086-458F-BD92-1F8EE10042A0}'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); ExecuteRepair(3); ExecuteRepair(4); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте логи RSIT.
WBR,
Vadim
А это:?Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('BrowserProtect'); DeleteService('BrowserProtect'); TerminateProcessByName('c:\program files\tor\tor.exe'); QuarantineFile('c:\program files\tor\tor.exe',''); TerminateProcessByName('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe'); QuarantineFile('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe',''); DeleteFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hstart - cmd.exe .lnk'); DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayerUpdate','32'); DeleteFile('C:\Users\348B~1\AppData\Local\Temp\AA55.tmp.exe','32'); DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32'); DeleteFile('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe','32'); DeleteFile('c:\program files\tor\tor.exe','32'); DeleteFile('C:\Users\Димас\AppData\Local\ConvertAd\ConvertAd.exe'); DeleteFile('C:\Windows\tasks\Lyrmix Update.job','32'); DeleteFile('C:\Windows\tasks\MetaCrawler.job'); DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}'); DelBHO('{37483b40-c254-4a72-bda4-22ee90182c1e}'); DelBHO('{87955fc8-0f8d-46cf-97b1-b89e05ef90bb}'); DelBHO('{977AE9CC-AF83-45E8-9E03-E2798216E2D5}'); DelBHO('{fe063412-bea4-4d76-8ed3-183be6220d17}'); DelBHO('{DB536AF2-E422-402d-B7FD-887297F1A198}'); DelBHO('{C1AF5FA5-852C-4C90-812E-A7F75E011D87}'); DelBHO('{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}'); DelBHO('{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}'); DelBHO('{58124A0B-DC32-4180-9BFF-E0E21AE34026}'); DelBHO('{82E1477C-B154-48D3-9891-33D83C26BCD3}'); ExecuteFile('C:\Users\Димас\AppData\Roaming\BabSolution\Shared\GUninstaller.exe', ' -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -plgdll enhancedNT -nontfy', 0, 25000, false); ExecuteFile('C:\Program Files\Delta\delta\1.8.24.6\GUninstaller.exe', ' -uprtc -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta"', 0, 25000, false); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Удалите через панель управления -> "Программы и компоненты" следующие программы:
Bonanza Deals
BrowserDefender
[email protected]
IMinent Toolbar
IMinent
Lyrmix
metaCrawler
Smart Suggestor
Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.
Последний раз редактировалось Vvvyg; 04.09.2013 в 12:26.
WBR,
Vadim
Да, загажен компьютер основательно...
Если ещё не закрыли программу - нажмите кнопку "Clean" и дождитесь окончания удаления (с последующей перезагрузкой).
Сделайте полный образ автозапуска uVS.
WBR,
Vadim
Отключите временно антивирус, это он на AdwCleaner реагирует.
В AdwCleaner - Scan и по завершении - Clean.
После перезагрузки делайте полный образ автозапуска uVS.
WBR,
Vadim
Выполните скрипт в uVS:На вопросы об удалении программ рекомендую соглашаться.Код:;uVS v3.81.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref %SystemDrive%\USERS\348B~1\APPDATA\LOCAL\TEMP\RAR$EX29.425\HSTART.EXE delref RETCODE.BAT delref %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL zoo %SystemDrive%\USERS\ДИМАС\DOCUMENTS\13237839.EXE del %SystemDrive%\USERS\ДИМАС\DOCUMENTS\13237839.EXE del %SystemDrive%\USERS\ДИМАС\DESKTOP\НОВ\AVZ4\QUARANTINE\2013-09-04\AVZ00001.DTA del %SystemDrive%\USERS\ДИМАС\DESKTOP\НОВ\AVZ4\QUARANTINE\2013-09-04\AVZ00002.DTA delref %SystemDrive%\USERS\348B~1\APPDATA\ROAMING\METACR~1\UPDATE~1\UPDATE~1.EXE delref %Sys32%\FLASHPLAYERUPDATESERVICE.EXE delref %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE exec MsiExec.exe /quiet /I{12644DC5-2271-442B-816F-8CFFD3DDDF32} exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} exec MsiExec.exe /quiet /I{BFE6D377-F558-4E95-A062-673941B9BA5A} exec MsiExec.exe /quiet /I{1B62D580-3D56-11E2-9BD5-00268339AEE5} exec "C:\Users\Димас\AppData\Local\ConvertAd\uninstall.exe" exec "C:\Program Files\Hamster Soft\Hamster Lite Archiver\unins000.exe" deltmp restart
Компьютер перезагрузится.
Уведомление
Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 6 Update 45 - версия, совместима с банк- клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности
Упакуйте содержимое папки ZOO с помощью WinRar в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сообщите, что с проблемами.
WBR,
Vadim
Выполняю скрипт - ошибка Вложение 434521
Скрипт был написан не для АВЗ, а для UVs. Выполняйте скрипт в UVs
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Отблагодарю обязательно! Всё работает! Здесь замечательные мастера своего дела)))
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пока что обновляю требования. Но уже снова подцепила вирус. Ни один поисковик не работает, не говоря о соц. сетях.
Давайте новый полный образ автозапуска uVS.
WBR,
Vadim
Удалите старые вложения. Или на rghost,ru и ссылку в тему.
WBR,
Vadim
Уважаемый(ая) nyu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.