Здравствуйте.
Проблема идентична той, которая была описана в этой теме http://virusinfo.info/showthread.php?t=174098
Здравствуйте.
Проблема идентична той, которая была описана в этой теме http://virusinfo.info/showthread.php?t=174098
Уважаемый(ая) Mascari, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Андрей\appdata\roaming\aspackage\assrv.exe',''); QuarantineFile('C:\Windows\storegidfilter.sys',''); QuarantineFile('C:\Program Files (x86)\doLlarsaver\xlurSBEtnv2UBd.dll',''); QuarantineFile('C:\Program Files (x86)\nicenfreee\NsehV1advVfOev.dll',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll',''); QuarantineFile('C:\Windows\system32\drivers\{b4cfc267-710e-4cda-9a0b-480ee1b44807}Gw64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{16f7ec59-4343-4cee-9c80-0ca2631e5629}w64.sys',''); SetServiceStart('{b4cfc267-710e-4cda-9a0b-480ee1b44807}Gw64', 4); DeleteService('{b4cfc267-710e-4cda-9a0b-480ee1b44807}Gw64'); SetServiceStart('{16f7ec59-4343-4cee-9c80-0ca2631e5629}w64', 4); DeleteService('{16f7ec59-4343-4cee-9c80-0ca2631e5629}w64'); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Windows\system32\drivers\{16f7ec59-4343-4cee-9c80-0ca2631e5629}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b4cfc267-710e-4cda-9a0b-480ee1b44807}Gw64.sys','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); DeleteFile('C:\Program Files (x86)\nicenfreee\NsehV1advVfOev.dll','32'); DeleteFile('C:\Program Files (x86)\doLlarsaver\xlurSBEtnv2UBd.dll','32'); DeleteFile('C:\Windows\storegidfilter.sys','32'); DeleteFile('C:\Users\Андрей\appdata\roaming\aspackage\assrv.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
axserch.ru продолжает появляться.
Скрипт из сообщения №3 выполняли? AVZ при этом запускали от имени Администратора по правой кнопке мыши?
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт выполнял, от Администратора запускал.
Пофиксите в HiJack
Удалите вручнуюКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421750556&from=tt4u&uid=TOSHIBAXMK1059GSMP_12J6F101SXX12J6F101S O2 - BHO: nicenfreee - {5e286b93-cf07-4837-8a4c-3bd6b99a9cf7} - C:\Program Files (x86)\nicenfreee\NsehV1advVfOev.dll (file missing) O2 - BHO: doLlarsaver - {b06cbad7-2f3b-4145-97de-3e8d27966159} - C:\Program Files (x86)\doLlarsaver\xlurSBEtnv2UBd.dll (file missing) O2 - BHO: platamoose 1.0.0.7 - {f1ddcafb-ed2e-4bb4-9dcd-cfd0eeadb98e} - (no file) O2 - BHO: (no name) - {fe063412-bea4-4d76-8ed3-183be6220d17} - (no file)
C:\ProgramData\lcigelihjajaecdelmogjhmblhibhoda
C:\ProgramData\2456538143494875904
C:\ProgramData\shoppi
C:\Windows\system32\drivers\{ddddb327-b443-454e-b9bd-98f89ea4548c}w64.sys
C:\Windows\system32\drivers\{16f7ec59-4343-4cee-9c80-0ca2631e5629}w64.sys
C:\ProgramData\9f00f7e000007e34
C:\Windows\system32\drivers\{b4cfc267-710e-4cda-9a0b-480ee1b44807}Gw64.sys
C:\ProgramData\IHProtectUpDate
C:\Program Files (x86)\XTab
C:\ProgramData\WindowsMangerProtect
C:\Users\Андрей\AppData\Roaming\mystartsearch
C:\Program Files (x86)\gmsd_ru_32
C:\Users\Андрей\AppData\Roaming\ASPackage
C:\Users\Андрей\AppData\Roaming\MaxDownload
C:\Users\Андрей\AppData\Roaming\Homepager
C:\Program Files (x86)\coolfld
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\SearchProtect
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Mascari, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.