Junior Member
Вес репутации
36
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) antoshka043 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\C7D7~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
SetServiceStart('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64', 4);
DeleteService('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64.sys','');
TerminateProcessByName('c:\users\Кожевниковы\appdata\roaming\aspackage\assrv.exe');
QuarantineFile('c:\users\Кожевниковы\appdata\roaming\aspackage\assrv.exe','');
DeleteFile('c:\users\Кожевниковы\appdata\roaming\aspackage\assrv.exe','32');
DeleteFile('C:\Windows\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys','32');
DeleteFile('C:\Users\C7D7~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
36
т.к. система х64, высылаю только 2 новых лога сделанных согласно правил и еще два дополнительных
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\us.exe ()
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\us.exe ()
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\C7D7~1\AppData\Local\Temp\mcse64_00.dll No File
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\C7D7~1\AppData\Local\Temp\mcse64_00.dll No File
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\C7D7~1\AppData\Local\Temp\mcse64_00.dll No File
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => No File
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => No File
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422385820&from=cor&uid=395049983_1052498_049D5D56&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422385820&from=cor&uid=395049983_1052498_049D5D56&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
HKU\S-1-5-21-3851507670-4115548226-1259902902-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
HKU\S-1-5-21-3851507670-4115548226-1259902902-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
URLSearchHook: [S-1-5-21-3851507670-4115548226-1259902902-1000] ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=395049983_1052498_049D5D56&ts=1422385915&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c1c3e48b7b2137ce4ebd5aaf80b9e26c&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c1c3e48b7b2137ce4ebd5aaf80b9e26c&text=
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=395049983_1052498_049D5D56&ts=1422385915&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.<!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=395049983_1052498_049D5D56&ts=1422385915&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=395049983_1052498_049D5D56&ts=1422385915&type=default&q={searchTerms}
BHO-x32: No Name -> {0055C089-8582-441B-A0BF-17B458C2A3A8} -> No File
BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-3851507670-4115548226-1259902902-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422385820&from=cor&uid=395049983_1052498_049D5D56", "hxxp://isearch.\u003C!DOCTYPE HTML>", "hxxp://isearch.\u003C!DOCTYPE HTML>?type=hppppppppppppppppppppppppppppppppppppp", "hxxp://isearch.\u003C!DOCTYPE HTML>?type=hppppppppppppppppppppppppppppppppppppppp", "hxxp://isearch.\u003C!DOCTYPE HTML>?type=hppppppppppppppppppppppppppppppppppppppppppp", "hxxp://www.google.com/"
CHR DefaultSearchURL: Default -> http://isearch.\u003C!DOCTYPE HTML>web/?type=dspp&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
2015-02-25 13:28 - 2015-02-25 22:20 - 00000000 ____D () C:\Windows\SysWOW64\GroupPolicy
2015-02-25 13:28 - 2015-02-25 13:28 - 00000133 ____H () C:\firefox.bat
2015-02-25 13:28 - 2015-02-25 13:28 - 00000117 ____H () C:\Users\Все пользователи\help.bat
2015-02-25 13:28 - 2015-02-25 13:28 - 00000117 ____H () C:\ProgramData\help.bat
2015-02-25 13:28 - 2015-02-25 13:28 - 00000098 ____H () C:\iexplore.bat
2015-02-25 13:28 - 2013-01-27 00:21 - 00897024 ____H () C:\Windows\SаfаriIсо.bаt.exe
2015-02-25 13:27 - 2015-02-27 16:27 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\ASPackage
2015-02-25 13:27 - 2015-02-25 22:20 - 00000330 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-25 13:27 - 2015-02-25 22:20 - 00000330 __RSH () C:\ProgramData\ntuser.pol
2015-02-25 13:27 - 2015-02-25 13:28 - 00000114 ____H () C:\Windows\SafariIco.bat
2015-02-25 13:27 - 2015-02-25 13:27 - 00000111 ____H () C:\opera.bat
2015-02-25 13:27 - 2015-02-25 13:27 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-02-25 13:26 - 2015-02-25 18:33 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\eTranslator
2015-01-28 00:12 - 2015-01-28 00:12 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\DigitalSites
2015-01-28 00:12 - 2015-01-28 00:12 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\1H1Q1V1N1N1O1R
2015-01-28 00:12 - 2015-01-28 00:12 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-01-28 00:12 - 2015-01-28 00:12 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-01-28 00:11 - 2015-02-26 08:10 - 00000000 ____D () C:\Program Files (x86)\XTab
2015-01-28 00:11 - 2015-02-26 00:35 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect
2015-01-28 00:11 - 2015-02-26 00:35 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-01-28 00:10 - 2015-02-10 22:34 - 00000000 ____D () C:\Users\Кожевниковы\AppData\Roaming\omiga-plus
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
36
всё сделал, проблема после перезагрузки решена полностью. Спасибо. Обязательно поддержу ваш проект.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 4 В ходе лечения вредоносные программы в карантинах не обнаружены