добрый день, в операционной системе присутствует программа Advanced System Protector. удалить через Установку/Удаление программ не выходит. Логи прилагаю.
добрый день, в операционной системе присутствует программа Advanced System Protector. удалить через Установку/Удаление программ не выходит. Логи прилагаю.
Последний раз редактировалось ignis; 13.12.2013 в 16:05.
Уважаемый(ая) ignis, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin ClearQuarantine; TerminateProcessByName('c:\users\darty\appdata\roaming\cacaoweb\cacaoweb.exe'); TerminateProcessByName('c:\users\darty\appdata\roaming\systweak\traysystweak.exe'); TerminateProcessByName('c:\programdata\activeu0\rpeulaaql.exe'); TerminateProcessByName('c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe'); TerminateProcessByName('c:\programdata\esafe\egdpsvc.exe'); TerminateProcessByName('c:\progra~3\dxgtgwoe.exe'); SetServiceStart('WsysSvc', 4); SetServiceStart('syshost32', 4); StopService('WsysSvc'); StopService('syshost32'); QuarantineFile('C:\RECYCLER\wivsys.exe',''); QuarantineFile('C:\Program Files (x86)\VisualBee\VisualBee-enabler.exe',''); QuarantineFile('c:\users\darty\dxzluufz.exe',''); QuarantineFile('C:\Users\darty\voqikanmujam.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\svchost.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\rundll32.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\ieTnd\ltc.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\csrss.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\cacaoweb\cacaoweb.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\WinSecure32.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\darty\AppData\Roaming\Microsoft\Ycmgme.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\Identities\Vcmgmb.exe',''); QuarantineFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe',''); QuarantineFile('C:\Users\darty\AppData\Local\Temp\windows\winsys.exe',''); QuarantineFile('C:\Users\darty\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\RECYCLER\winmode.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe',''); QuarantineFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe',''); QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe',''); QuarantineFile('c:\users\darty\appdata\roaming\systweak\traysystweak.exe',''); QuarantineFile('c:\programdata\activeu0\rpeulaaql.exe',''); QuarantineFile('c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe',''); QuarantineFile('c:\programdata\esafe\egdpsvc.exe',''); QuarantineFile('c:\progra~3\dxgtgwoe.exe',''); DeleteFile('c:\progra~3\dxgtgwoe.exe','32'); DeleteFile('c:\programdata\activeu0\rpeulaaql.exe','32'); DeleteFile('C:\Windows\Installer\{897A2EA5-C06C-8931-2C0B-584E0BEBCD99}\syshost.exe','32'); DeleteFile('C:\ProgramData\eSafe\eGdpSvc.exe','32'); DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32'); DeleteFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','32'); DeleteFile('C:\Users\darty\AppData\Local\Temp\016971~1.EXE','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32'); DeleteFile('C:\RECYCLER\winmode.exe','32'); DeleteFile('C:\RECYCLER\wivsys.exe','32'); DeleteFile('C:\Users\darty\AppData\Local\Temp\windows\winsys.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Vcmgmb.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\Microsoft\Ycmgme.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\ScreenSaverPro.scr','32'); DeleteFile('C:\Users\darty\AppData\Roaming\Systweak\traySystweak.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\WinSecure32.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\csrss.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\ieTnd\ltc.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\rundll32.exe','32'); DeleteFile('C:\Users\darty\AppData\Roaming\svchost.exe','32'); DeleteFile('C:\Users\darty\voqikanmujam.exe','32'); DeleteFile('c:\users\darty\dxzluufz.exe','32'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT.job','64'); DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES.job','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT','64'); DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES','64'); DeleteFile('C:\Windows\system32\Tasks\VisualBee-codedownloader','64'); DeleteFile('C:\Windows\system32\Tasks\VisualBee-enabler','64'); DeleteFile('C:\Windows\system32\Tasks\VisualBee-updater','64'); DeleteFile('C:\Program Files (x86)\VisualBee\VisualBee-enabler.exe','32'); DeleteFile('C:\Users\darty\appdata\local\temp\adobe\reader_sl.exe','32'); DeleteFile('c:\users\darty\appdata\roaming\cacaoweb\cacaoweb.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sjdbpro1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Mode Recovery'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall Management'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jcmgmp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vcmgmb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ycmgme'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{494A267D-87AB-8B02-E32B-53F588D4089A}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cacaoweb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Process'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Host-process Windows (Rundll32.exe)'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service Host Process for Windows'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','voqikanmujam'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','46644'); DeleteService('dqupdatem'); DeleteService('dqupdate'); DeleteService('bonanzadealslivem'); DeleteService('bonanzadealslive'); DeleteService('0169711386854185mcinstcleanup'); DeleteService('WsysSvc'); DeleteService('syshost32'); DeleteFileMask('c:\programdata\esafe','*',true); DeleteFileMask('c:\programdata\activeu0','*',true); DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive','*',true); DeleteFileMask('C:\Program Files (x86)\Duuqu','*',true); DeleteFileMask('C:\Users\darty\AppData\Roaming\Identities','*',true); DeleteFileMask('C:\Users\darty\AppData\Roaming\Microsoft','*',true); DeleteFileMask('C:\Users\darty\AppData\Roaming\Systweak','*',true); DeleteFileMask('C:\Users\darty\AppData\Roaming\cacaoweb','*',true); DeleteFileMask('C:\Users\darty\AppData\Roaming\ieTnd','*',true); DeleteFileMask('C:\Program Files (x86)\VisualBee','*',true); DeleteDirectory('c:\programdata\esafe'); DeleteDirectory('c:\programdata\activeu0'); DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive'); DeleteDirectory('C:\Program Files (x86)\Duuqu'); DeleteDirectory('C:\Users\darty\AppData\Roaming\Identities'); DeleteDirectory('C:\Users\darty\AppData\Roaming\Microsoft'); DeleteDirectory('C:\Users\darty\AppData\Roaming\Systweak'); DeleteDirectory('C:\Users\darty\AppData\Roaming\cacaoweb'); DeleteDirectory('C:\Users\darty\AppData\Roaming\ieTnd'); DeleteDirectory('C:\Program Files (x86)\VisualBee'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог полного сканирования MBAM.
карантин прислал. Лог сделал.
- Удалите в MBAM всё.
- Повторите логи virusinfo_syscheck.zip и hijackthis.log.
готово, логи сделал.
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jcmgmp'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc'); DeleteFileMask('C:\Users\darty\AppData\Roaming\Identities','*',true); DeleteDirectory('C:\Users\darty\AppData\Roaming\Identities'); ExecuteSysClean; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
- Повторите логи virusinfo_syscheck.zip и hijackthis.log.
готово
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin QuarantineFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe',''); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA.job','64'); DeleteFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','32'); DeleteFileMask('C:\Program Files (x86)\Duuqu','*',true); DeleteDirectory('C:\Program Files (x86)\Duuqu'); ExecuteSysClean; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи virusinfo_syscheck.zip и hijackthis.log.
Что с проблемами?
Проблем не наблюдаю, по крайней мере ПК не висит, как было перед лечением, и Advanced System Protector удалил без проблем. спасибо! карантин не высылал, т.к. в архив пустой.
Из назначенных заданий нужно удалить:
Код:DuuquUpdateTaskMachineCore.job DuuquUpdateTaskMachineUA.job
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\activeu0\rpeulaaql.exe - Trojan.Win32.Neurevt.lw ( BitDefender: Gen:Variant.Zusy.73060, AVAST4: Win32:Dropper-gen [Drp] )
- c:\progra~3\dxgtgwoe.exe - Trojan-PSW.Win32.Tepfer.srtr ( BitDefender: Trojan.Encpk.Gen.4, AVAST4: Sf:Bancos-D [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe - Trojan-Proxy.Win32.Lethic.blc ( BitDefender: Gen:Variant.Graftor.123098, AVAST4: Win32:Crypt-QFL [Trj] )
- c:\recycler\winmode.exe - Trojan.Win32.Inject.gubq ( BitDefender: Gen:Malware.Heur.fm0@b0NJTOii, AVAST4: Win32:Malware-gen )
- c:\recycler\wivsys.exe - Trojan-Dropper.Win32.Sysn.aakd ( BitDefender: Gen:Malware.Heur.fm0@b00yVJmi, AVAST4: Win32:Malware-gen )
- c:\users\darty\appdata\local\temp\windows\winsys.e xe - Trojan-Dropper.Win32.Sysn.aakd ( BitDefender: Gen:Trojan.Heur.ZGY.5, AVAST4: Win32:Malware-gen )
- c:\users\darty\appdata\roaming\identities\jcmgmp.e xe - Worm.Win32.Ngrbot.wtx ( BitDefender: Gen:Variant.Kazy.307233, AVAST4: Win32:Crypt-QHD [Trj] )
- c:\users\darty\appdata\roaming\ietnd\ltc.exe - Trojan.Win32.Agent.adces ( BitDefender: Gen:Variant.Kazy.158415, AVAST4: Win32:BitCoinMiner-EW [Trj] )
- c:\users\darty\appdata\roaming\systweak\traysystwe ak.exe - Trojan.Win32.Inject.gqnx ( BitDefender: Gen:Variant.Zusy.73060, AVAST4: Win32:Dropper-gen [Drp] )
- c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe - Trojan-Dropper.Win32.Necurs.spi ( BitDefender: Trojan.GenericKD.1451888 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) ignis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.