сначала устаналивалась одна программа теперь сразу кучами в фоновом режиме
сначала устаналивалась одна программа теперь сразу кучами в фоновом режиме
Уважаемый(ая) mangyst, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Правила оформления запроса о помощи
Как оформить заявку в разделе "Помогите!"
Правила4. Создайте новую тему в разделе Помогите с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
- - - - -Добавлено - - - - -
virusinfo_syscheck.zip
hijackthis.log
virusinfo_syscure.zip
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\programdata\fwdmf\wdman.exe'); TerminateProcessByName('C:\Users\mangyst\AppData\Local\Tamptone.exe'); TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs'); TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp'); TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp'); TerminateProcessByName('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe'); TerminateProcessByName('c:\users\mangyst\appdata\local\amigo\application\amigo.exe'); TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe'); TerminateProcessByName('c:\windows\temp\5ec6.tmp'); StopService('TSSKX64'); StopService('swsedrvr_vt_1_10_0_25'); StopService('QMUdisk'); StopService('ppfd_vt_1_10_0_24'); StopService('{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64'); StopService('netfilter2'); StopService('CppWindowsService'); StopService('wucotusy'); StopService('WdMan'); StopService('gywyveqozbt'); StopService('downloaedoonloader'); StopService('Airtostrong'); QuarantineFile('C:\ProgramData\RenewalService\Service.exe',''); QuarantineFile('C:\Windows\winstart.bat',''); QuarantineFile('C:\Program Files (x86)\RaidCall.RU\raidcall.exe',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Temp\qq-bundle.exe',''); QuarantineFile('C:\Program Files (x86)\ppt\Uninst.exe',''); QuarantineFile('C:\Users\mangyst\AppData\Roaming\MyDesktop\qweeeCL.exe',''); QuarantineFile('C:\Users\mangyst\AppData\Local\MediaGet2\mediaget.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010117\gmsd_ru_005010117.exe',''); QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe',''); QuarantineFile('C:\Windows\RegPolicy\aticonto.exe',''); QuarantineFile('C:\Program Files (x86)\ppt\ppt.exe',''); QuarantineFile('C:\ProgramData\Airtostrong\Joystock.dll',''); QuarantineFile('C:\ProgramData\Airtostrong\Biocore.dll',''); QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\Thetta64.sys',''); QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys',''); QuarantineFile('C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys',''); QuarantineFile('C:\Windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64.sys',''); QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys',''); QuarantineFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libglesv2.dll',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libegl.dll',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_elf.dll',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_child.dll',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome.dll',''); QuarantineFile('c:\programdata\fwdmf\wdman.exe',''); QuarantineFile('C:\Users\mangyst\AppData\Local\Tamptone.exe',''); QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs',''); QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp',''); QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp',''); QuarantineFile('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe',''); QuarantineFile('c:\users\mangyst\appdata\local\amigo\application\amigo.exe',''); QuarantineFile('c:\programdata\airtostrong\airtostrong.exe',''); QuarantineFile('c:\windows\temp\5ec6.tmp',''); DeleteFile('C:\Users\mangyst\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\?????.lnk'); DeleteFile('c:\windows\temp\5ec6.tmp','32'); DeleteFile('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe','32'); DeleteFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Tamptone.exe','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome.dll','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_child.dll','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_elf.dll','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libegl.dll','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libglesv2.dll','32'); DeleteFile('C:\ProgramData\Airtostrong\Airtostrong.exe','32'); DeleteFile('C:\Program Files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs','32'); DeleteFile('C:\ProgramData\FWdMF\WdMan.exe','32'); DeleteFile('C:\Program Files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqC9D6.tmp','32'); DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32'); DeleteFile('C:\Windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','32'); DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\ProgramData\Airtostrong\Biocore.dll','32'); DeleteFile('C:\ProgramData\Airtostrong\Joystock.dll','32'); DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32'); DeleteFile('C:\Windows\RegPolicy\aticonto.exe','32'); DeleteFile('C:\Program Files (x86)\gmsd_ru_005010117\gmsd_ru_005010117.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','32'); DeleteFile('C:\Users\mangyst\AppData\Local\MediaGet2\mediaget.exe','32'); DeleteFile('C:\Users\mangyst\AppData\Roaming\MyDesktop\qweeeCL.exe','32'); DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32'); DeleteFile('C:\Users\mangyst\AppData\Local\Temp\qq-bundle.exe','32'); DeleteFile('C:\Windows\winstart.bat','32'); DeleteFile('C:\ProgramData\RenewalService\Service.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\RenewalService','64'); DeleteFile('C:\Windows\system32\Drivers\netfilter2.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aticonto','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010117','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_898451212780868DC9B8E5987801E58A','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcmgr','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qq-bundle.exe -start','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteService('TSSKX64'); DeleteService('swsedrvr_vt_1_10_0_25'); DeleteService('QMUdisk'); DeleteService('ppfd_vt_1_10_0_24'); DeleteService('{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64'); DeleteService('netfilter2'); DeleteService('CppWindowsService'); DeleteService('wucotusy'); DeleteService('WdMan'); DeleteService('gywyveqozbt'); DeleteService('downloaedoonloader'); DeleteService('Airtostrong'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
вот
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
всё прошло больше не чего не вылазит и не загружается. Спасибо за помощь
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp - not-a-virus:AdWare.Win32.Vopak.atd ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp - not-a-virus:AdWare.Win32.ConvertAd.bjn ( AVAST4: Win32:Adware-gen [Adw] )
- c:\programdata\airtostrong\joystock.dll - Trojan.Win64.Agent.dms
- c:\users\mangyst\appdata\local\tamptone.exe - Trojan-Downloader.MSIL.Agent.ajyb
- c:\windows\regpolicy\aticonto.exe - Trojan.MSIL.Miner.aia ( DrWEB: Trojan.Coinbit.39 )
- c:\windows\system32\drivers\netfilter2.sys - not-a-virus:NetTool.Win64.NetFilter.aq
- c:\windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )
- c:\windows\temp\5ec6.tmp - not-a-virus:AdWare.Win32.ConvertAd.amfz
Уважаемый(ая) mangyst, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.