Вирус vk.ijmelto.ru/vklike.crx

**Александра Горидько** · 12.01.2016, 01:16

помогите Удалить все что связано с этим вирусом!
Появились новые программы,сбоку экрана появилась новая панель с этими же программами!
Аваст постоянно выдает ошибкуСнимок.PNG, при чем процессы (в конце строки) разные каждый раз.111.PNG

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.01.2016, 01:17

Уважаемый(ая) Александра Горидько, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 12.01.2016, 12:36

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\6wfzys8cfkpt.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\cq796s5qywca.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\d9olfpqc9xoe.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\gbvn0pc5gvze.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\itnij6th6alp.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\jl83euch0lts.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\t6904461\kometamini.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\cr_46fc5.tmp\setup.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\cr_42366.tmp\setup.exe');
 TerminateProcessByName('c:\users\sasha\appdata\local\temp\thwnlj1d8idb.exe');
 QuarantineFile('c:\users\sasha\appdata\local\temp\6wfzys8cfkpt.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\cq796s5qywca.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\d9olfpqc9xoe.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\gbvn0pc5gvze.exe', '');
 QuarantineFile('C:\Users\Sasha\Downloads\warcraft 3 frozen thronerepack tfile me torrent.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\itnij6th6alp.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\jl83euch0lts.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\t6904461\kometamini.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\cr_46fc5.tmp\setup.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\cr_42366.tmp\setup.exe', '');
 QuarantineFile('c:\users\sasha\appdata\local\temp\thwnlj1d8idb.exe', '');
 QuarantineFile('C:\Users\Sasha\AppData\Local\Temp\SC9KWU~1.EXE', '');
 QuarantineFileF('c:\users\sasha\appdata\local\kometa\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('c:\users\sasha\appdata\local\kometa\', '*', true);
 DeleteDirectory('c:\users\sasha\appdata\local\kometa\');
 DeleteFile('c:\users\sasha\appdata\local\temp\6wfzys8cfkpt.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\cq796s5qywca.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\d9olfpqc9xoe.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\gbvn0pc5gvze.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\itnij6th6alp.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\jl83euch0lts.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\t6904461\kometamini.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\cr_46fc5.tmp\setup.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\cr_42366.tmp\setup.exe', '32');
 DeleteFile('c:\users\sasha\appdata\local\temp\thwnlj1d8idb.exe', '32');
 DeleteFile('C:\Users\Sasha\AppData\Local\Temp\SC9KWU~1.EXE', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tzuorodxpe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'speeddialmaker_delete_self');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'spprjucket');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'pbfpuhufms');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nhpbtgcoiu');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'biiupxlcce');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

ProxyServer = 192.168.50.1:3128 - сами прописывали?

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

**Александра Горидько** · 12.01.2016, 21:10

1. Приостановила работу Аваста.
2. Загрузила зип-файл в форму, открылась новая страница. Какую именно ссылку должна скинуть?
Ссылку на эту страницу?

- - - - -Добавлено - - - - -

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы. - такого нет.

ProxyServer = 192.168.50.1:3128 - сами прописывали? - без понятия

Эти пункты мне не понятны(((

- - - - -Добавлено - - - - -

У меня опять выползаюn окна gTFaU90oYd8.jpg

**regist** · 12.01.2016, 21:19

Сообщение от Александра Горидько

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы. - такого нет.

чего нет? загрузите карантин как просили.

**Александра Горидько** · 12.01.2016, 21:50

Снимок.jpg

- - - - -Добавлено - - - - -

http://virusinfo.info/virusdetector/report.php?md5=21B168C97702DE5E0045FE0D1B797419

- - - - -Добавлено - - - - -

Снимок1.PNG

- - - - -Добавлено - - - - -

http://virusinfo.info/showthread.php?t=195655

**regist** · 12.01.2016, 22:02

Ещё

Сообщение от regist

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Александра Горидько** · 12.01.2016, 22:10

Снимок2.PNG
нет,такого файла

**regist** · 13.01.2016, 09:33

А в папке quarantine есть файлы?

**Александра Горидько** · 14.01.2016, 06:38

да,есть.
2.PNG
3.PNG

**regist** · 14.01.2016, 09:52

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Александра Горидько** · 15.01.2016, 02:38

загрузила!
если что, вот ещеhijackthis.log

**regist** · 15.01.2016, 10:26

Сообщение от Александра Горидько

загрузила!

куда вы загрузили? В карантине пусто. Неужели так сложно прислать карантин, что вы уже несколько дней не можете разобраться?

**Александра Горидько** · 19.01.2016, 22:14

Не обязательно грубить человеку, который плохо разбирается в компьютере.
НЕт у меня папки с таким расширением.
Я Вам показала,что у меня есть на компьютере.
Через второе приложение грузит только файл с расширением блокнота.
и я вам его скинула.

**regist** · 20.01.2016, 10:13

Приложения 2 http://virusinfo.info/content.php?r=136-pravila вы читали?

Ладно попробуем по другому.

Папку quarantine заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

**Александра Горидько** · 27.01.2016, 19:54

Приложения 2 http://virusinfo.info/content.php?r=136-pravila вы читали?

так все,отправила

- - - - -Добавлено - - - - -

ой
через Приложения 2 http://virusinfo.info/content.php?r=136-pravila вы читали? - Утилита HiJackThis?

**regist** · 27.01.2016, 23:11

Сообщение от regist

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.Прикрепите отчет к своему следующему сообщению.

сделайте это.
Только учтите, что за это время программа обновилась. Если скачивали её раньше, то скачайте заново.

- - - - -Добавлено - - - - -

+ раз прокси вам незнакомо, то

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.50.1:3128
O4 - HKCU\..\Run: [tzuorodxpe] explorer "http://runkede.ru/?utm_source=uoua03&utm_content=0b141c55c3e0dadc566f6c39348c521b&utm_term=5D6E4EE7A843AAB5F9B451D8C062456E"
O4 - HKCU\..\Run: [KometaLaunchPanel] C:\Users\Sasha\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe

после этого сделайте свежий лог HijackThis

**CyberHelper** · 27.01.2016, 23:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 33
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус vk.ijmelto.ru/vklike.crx (заявка № 195619)

Опции темы