После входа в систему появляется, на мгновение, командная строка, иногда её удаётся вовремя закрыть, но когда не успеваю, то после неё открывается браузер и загружается непонятный сайт.
Логи:
Вложение 442174
Вложение 442175
virusinfo_syscure.zip
После входа в систему появляется, на мгновение, командная строка, иногда её удаётся вовремя закрыть, но когда не успеваю, то после неё открывается браузер и загружается непонятный сайт.
Логи:
Вложение 442174
Вложение 442175
virusinfo_syscure.zip
Уважаемый(ая) DosuG, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HiJack
Сделайте новый логКод:O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130531 (exit) else (start http://lyll.net && exit)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот (это без перезагрузки компьютера):
Вложение 442341
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\Денис\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe'); TerminateProcessByName('c:\users\Денис\appdata\local\temp\rundll32.exe'); QuarantineFile('c:\users\Денис\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe',''); QuarantineFile('c:\users\Денис\appdata\local\temp\rundll32.exe',''); QuarantineFile('C:\Documents\Iterra\bkjvfkg.dll',''); DeleteFile('C:\Documents\Iterra\bkjvfkg.dll'); DeleteFile('c:\users\Денис\appdata\local\temp\kb2656351_10.0.30301\taskmgn.exe'); DeleteFile('C:\Users\Денис\AppData\Local\Temp\rundll32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Не могу прислать файл quarantine.zip, мне пишет что он уже загружен, и логи не могу загрузить, из-за того, что памяти нет, можно ли их на другой источник залить, типа ЯндексДиска?
Как почистить место хранения, если там нет кнопки удаления, да и удалить старые темы я не могу(в которые вложены старые логи)?
*Извините за неудобства, просто я не шарю по вашему сайту, а в поисковике(вашего сайта) я не нашёл решения этой проблемки
**Да и карантин мне так и не удалось выслать, всё ещё пишет что файл уже был загружен, хотя для этой темы я ничего не отсылал.
Вот логи на которые у меня хватило места:
Последний раз редактировалось DosuG; 22.10.2013 в 23:43.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог AVZ старый прикрепили, сделайте новый и прикрепите.
Вот свеженькие логи :
*но quarantine.zip всё не лезет, я даже уже заново выполнил скрипт. Вы можете его удалить с темы, или может это как-то могу сделать я?
virusinfo_syscheck.zip со старыми базами
а virusinfo_syscure.zip опять старыйВнимание !!! База поcледний раз обновлялась 16.05.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
наверно пустой, так что не нужен.Сканирование запущено в 16.05.2013 16:54:39
Вот, обновил и заново выполнил все скрипты:
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Documents\Iterra\bkjvfkg.dll',''); QuarantineFileF('C:\Documents\Iterra','*', true,'',0 ,0); DeleteFile('C:\Documents\Iterra\bkjvfkg.dll'); DeleteFileMask('C:\Documents\Iterra', '*', true); DeleteDirectory('C:\Documents\Iterra'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Вот:
*quarantine.zip не загружается на сайт, снова пишет что такой есть.
Профиксите в HijackThis (запускать правой кнопкой от имени админа)
сделайте новый лог HijackThisКод:O20 - AppInit_DLLs: C:\Documents\Iterra\bkjvfkg.dll
- Сделайте лог полного сканирования МВАМ.
Вот:
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:C:\Users\Денис\Desktop\oooo.exe
--------------------
PC Speed Up сами ставили ? Это нежелательная программа рекомендую деисталировать, а затем
Удалите в MBAM только
Если PC Speed Up то также снимите галочки со строчек с ним.Код:Обнаруженные ключи в реестре: 6 HKCR\CLSID\{E9B5B0D2-D08A-49FC-8B5C-159B60BAA268} (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. HKCR\TypeLib\{3157E247-2784-4028-BF0F-52D6DDC70E1B} (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. HKCR\Interface\{6C42038D-817A-472C-8C2A-EF46F1DA576D} (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. HKCR\PCSU.Registry.1 (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. HKCR\PCSU.Registry (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\PCSUSERVICE (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKLM\SYSTEM\CurrentControlSet\Services\PCSUService|ImagePath (PUP.Optional.PCSpeedUp.A) -> Параметры: C:\Program Files (x86)\PC Speed Up\PCSUService.exe -> Действие не было предпринято. Обнаруженные папки: 6 C:\Users\Денис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents\PCSpeedUp (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\RestorePoints (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\ScanResults (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято. F:\1 NTFS\Загрузки\krovyu-i-potom-anaboliki-pain-gain-2013-bdrip-720p-licenziya.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\prizrachnyy-patrul-r_i_p_d_-2013-web-dl-720p-itunes.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\semeyka-kruds-the-croods-2013-web-dl-720p-chistyy-zvuk.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\startrek-vozmezdie-star-trek-into-darkness-2013-bdrip-720p-chist.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\velikiy-getsbi-the-great-gatsby-2013-bdrip-720p-itunes.exe (Trojan.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\Music\konec-sveta-2013-apokalipsis-po-gollivudski-this-is-the-end-2013.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. F:\1 NTFS\Загрузки\Music\MediaGet_id1015758ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято C:\Users\Денис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\Tasks\PC SpeedUp Service Deactivator.job (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\App.log (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\RestorePoints\GIGABYTE Gamer HUD Lite.lnk-20.lnk (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\RestorePoints\Tabs.lnk-19.lnk (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\ScanResults\FragmentedDisksCollection.log (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято. C:\Documents\PCSpeedUp\ScanResults\JunkFilesCollection.log (PUP.Optional.PCSpeedUp.A) -> Действие не было предпринято.
Сделайте полный образ автозапуска uVS
Вот uVS:
*прислать файл "C:\Users\Денис\Desktop\oooo.exe" на карантин я не могу, так как его нет на рабочем столе, по крайней мере он не отображается, даже когда включаю видимость невидимых файлов и папок в свойствах папок.
Выполните скрипт в uVS и пришлите карантин
сделайте новый образ автозапуска uVS.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref IF delall %SystemDrive%\DOCUMENTS\ITERRA\BKJVFKG.DLL zoo %SystemDrive%\USERS\ДЕНИС\DESKTOP\oooo.exe restart
Уважаемый(ая) DosuG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.