Добрый день.
Не открывается сайт vk.com, файл hosts чистый, стандартные рекомендации не помогают. Антивирусы ничего не находят.
Вместо стартовых страниц - казино Вулкан.
Файлы анализа:
Добрый день.
Не открывается сайт vk.com, файл hosts чистый, стандартные рекомендации не помогают. Антивирусы ничего не находят.
Вместо стартовых страниц - казино Вулкан.
Файлы анализа:
Уважаемый(ая) Franchesco, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('C:\Program Files\UBar\ubar.exe'); TerminateProcessByName('C:\Program Files\UBar\UbarService.exe'); StopService('UbarPolicyProvider'); StopService('UbarCalloutDriver'); QuarantineFile('C:\Program Files\UBar\ubar.exe', ''); QuarantineFile('C:\Program Files\UBar\UbarService.exe', ''); QuarantineFile('C:\Program Files (x86)\HDefsoft\zFZFke.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', ''); QuarantineFile('C:\ProgramData\bKIfnCuAp\OQVQtRFa5.bat', ''); QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', ''); QuarantineFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe', ''); QuarantineFile('C:\ProgramData\UpService\UpService.exe', ''); QuarantineFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', ''); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64'); DeleteFile('C:\Program Files\UBar\ubar.exe', '32'); DeleteFile('C:\Program Files\UBar\UbarService.exe', '32'); DeleteFile('C:\Program Files (x86)\HDefsoft\zFZFke.exe', '32'); DeleteFile('C:\Windows\svchost.exe', '32'); DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32'); DeleteFile('C:\ProgramData\bKIfnCuAp\OQVQtRFa5.bat', '32'); DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', '32'); DeleteFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe', '32'); DeleteFile('C:\ProgramData\UpService\UpService.exe', '32'); DeleteFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '32'); DeleteService('UbarPolicyProvider'); DeleteService('HSystem'); DeleteService('Windows'); DeleteService('UbarCalloutDriver'); DeleteFileMask('C:\Program Files\UBar', '*', true); DeleteFileMask('C:\Program Files (x86)\HDefsoft', '*', true); DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true); DeleteFileMask('C:\ProgramData\UpService', '*', true); DeleteFileMask('C:\Users\monotone\AppData\Roaming\FreeVPN', '*', true); DeleteDirectory('C:\Program Files\UBar'); DeleteDirectory('C:\Program Files (x86)\HDefsoft'); DeleteDirectory('C:\Program Files (x86)\Torrent Search'); DeleteDirectory('C:\ProgramData\UpService'); DeleteDirectory('C:\Users\monotone\AppData\Roaming\FreeVPN'); DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}'); DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}'); ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' Lnk 2.
WBR,
Vadim
Карантин отправлен:
Информация
Результат загрузки
Файл сохранён как 160228_195250_quarantine_56d325e28ee2a.zip
Размер файла 240447
MD5 147a0ec7c497f7239b0669e0c647109b
Файл закачан, спасибо!
Логи во вложении:
Спасибо!
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe'); TerminateProcessByName('c:\programdata\apppaznor\apppaznor.exe'); TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe'); TerminateProcessByName('C:\Users\monotone\AppData\Local\saogreen.exe'); TerminateProcessByName('c:\programdata\serfev\serfev.exe'); StopService('Airtostrong'); StopService('ApppaznoR'); StopService('CloudPrinter'); StopService('prcduct'); StopService('serfev'); ClearQuarantine; QuarantineFileF('c:\programdata\airtostrong', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\apppaznor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\cloudprinter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\serfev', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFile('c:\programdata\airtostrong\airtostrong.exe', ''); QuarantineFile('c:\programdata\apppaznor\apppaznor.exe', ''); QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe', ''); QuarantineFile('C:\Users\monotone\AppData\Local\saogreen.exe', ''); QuarantineFile('c:\programdata\serfev\serfev.exe', ''); QuarantineFile('C:\ProgramData\serfev\DentoSing.dll', ''); QuarantineFile('C:\ProgramData\serfev\Triosoft.dll', ''); QuarantineFile('C:\ProgramData\UpService\UpService.exe', ''); QuarantineFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', ''); DeleteFile('c:\programdata\airtostrong\airtostrong.exe', '32'); DeleteFile('c:\programdata\apppaznor\apppaznor.exe', '32'); DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe', '32'); DeleteFile('C:\Users\monotone\AppData\Local\saogreen.exe', '32'); DeleteFile('c:\programdata\serfev\serfev.exe', '32'); DeleteFile('C:\ProgramData\serfev\DentoSing.dll', '32'); DeleteFile('C:\ProgramData\serfev\Triosoft.dll', '32'); DeleteFile('C:\ProgramData\UpService\UpService.exe', '32'); DeleteFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '32'); DeleteService('Airtostrong'); DeleteService('ApppaznoR'); DeleteService('CloudPrinter'); DeleteService('prcduct'); DeleteService('serfev'); DeleteFileMask('c:\programdata\airtostrong', '*', true); DeleteFileMask('c:\programdata\apppaznor', '*', true); DeleteFileMask('c:\programdata\cloudprinter', '*', true); DeleteFileMask('c:\programdata\serfev', '*', true); DeleteFileMask('C:\ProgramData\UpService', '*', true); DeleteDirectory('c:\programdata\airtostrong'); DeleteDirectory('c:\programdata\apppaznor'); DeleteDirectory('c:\programdata\cloudprinter'); DeleteDirectory('c:\programdata\serfev'); DeleteDirectory('C:\ProgramData\UpService'); DeleteDirectory('C:\Users\monotone\AppData\Roaming\FreeVPN'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true); ExecuteSysClean; ExecuteRepair(13); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".
Выполните рекомендации из предыдущего сообщения, у Вас в системе адварь на адвари и адварью погоняет. Будете тянуть время - ещё зараза установится.
Жду результаты работы утилит ClearLNK и AdwCleaner, если указания не выполните - тему закроют.
WBR,
Vadim
Сделано:
Карантин шестиметровый не прикрепился.
Там в нем один из файлов весит 3Мб, что делать?
Уведомление
Карантин запрещено прикреплять к теме
Есть кнопка "Прислать запрошенный карантин" над над первым сообщением в теме.
Читайте внимательно, что я писал по AdwCleaner - сделайте очистку после сканирования и приложите файл AdwCleaner[C1].txt.
Времени прошло много, понадобится после этого сделать ещё лог.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сделано
Карантин так же был загружен
О-о, тут не дочищать, а пролечивать серьёзно нужно
µTorrent левый у Вас, откуда скачивали? Удалите через панель управления.
После этого откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае.Код:CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\serfev\UnoTotech.dll => C:\ProgramData\serfev\UnoTotech.dll [805376 2016-02-29] () AppInit_DLLs-x32: C:\ProgramData\serfev\TreeSolphase.dll => C:\ProgramData\serfev\TreeSolphase.dll [257536 2016-02-29] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF NewTab: C:\ProgramData\serfevs\ff.NT FF SelectedSearchEngine: Поиск@Mail.Ru FF Homepage: C:\ProgramData\serfevs\ff.HP FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B64DC6E2B-3270-4198-8EC6-A1B80C55C6E3%7D&gp=820339 R2 serfev; C:\ProgramData\\serfev\\serfev.exe [529408 2016-02-29] () [File not signed] 2016-02-29 20:30 - 2016-02-29 21:52 - 00000000 ____D C:\ProgramData\serfev 2016-02-29 20:30 - 2016-02-29 20:30 - 00000000 ____D C:\Program Files\Common Files\xk1epy4g 2016-02-29 20:27 - 2016-02-28 17:42 - 00001110 _____ C:\Windows\system32\Drivers\etc\2016-02-29_20-27_hosts.bak 2016-02-28 20:37 - 2016-02-28 20:37 - 00000000 ____D C:\ProgramData\serfevs 2016-02-28 20:35 - 2016-02-28 20:35 - 00000000 ____D C:\ProgramData\ApppaznoRs 2016-02-28 19:04 - 2016-02-28 19:04 - 00000000 ____D C:\ProgramData\Airtostrongs 2016-02-28 19:03 - 2016-02-28 19:03 - 03288792 _____ () C:\Program Files\Common Files\f0fiepww.exe 2016-02-28 19:03 - 2016-02-28 19:03 - 00000000 ____D C:\Program Files\Common Files\2jdcpfo0 2016-02-28 17:47 - 2016-02-28 18:03 - 00000000 ____D C:\Users\monotone\AppData\Roaming\567377707A_1036 2016-02-28 17:36 - 2016-02-28 17:36 - 00041472 _____ C:\Users\monotone\AppData\Local\saogreen.dat 2016-02-28 17:36 - 2016-02-28 17:36 - 00000187 _____ C:\Users\monotone\AppData\Local\saogreen.exe.config 2016-02-28 17:35 - 2016-02-28 17:35 - 08003072 _____ C:\Users\monotone\AppData\Roaming\agent.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 01894981 _____ C:\Users\monotone\AppData\Roaming\Hathold.tst 2016-02-28 17:35 - 2016-02-28 17:35 - 00848437 _____ C:\Users\monotone\AppData\Roaming\Goldtip.bin 2016-02-28 17:35 - 2016-02-28 17:35 - 00762880 _____ C:\Users\monotone\AppData\Roaming\Quotone.exe 2016-02-28 17:35 - 2016-02-28 17:35 - 00762880 _____ C:\Users\monotone\AppData\Roaming\Hathold.exe 2016-02-28 17:35 - 2016-02-28 17:35 - 00189536 _____ () C:\Users\monotone\AppData\Roaming\Tineco.bin 2016-02-28 17:35 - 2016-02-28 17:35 - 00127488 _____ C:\Users\monotone\AppData\Roaming\Installer.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 00126464 _____ C:\Users\monotone\AppData\Roaming\noah.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 00126464 _____ C:\Users\monotone\AppData\Roaming\lobby.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 00072718 _____ C:\Users\monotone\AppData\Roaming\Quotone.tst 2016-02-28 17:35 - 2016-02-28 17:35 - 00064752 _____ C:\Users\monotone\AppData\Roaming\Config.xml 2016-02-28 17:35 - 2016-02-28 17:35 - 00054272 _____ C:\Users\monotone\AppData\Roaming\ApplicationHosting.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 00018432 _____ C:\Users\monotone\AppData\Roaming\Main.dat 2016-02-28 17:35 - 2016-02-28 17:35 - 00016992 _____ C:\Users\monotone\AppData\Roaming\InstallationConfiguration.xml 2016-02-28 17:35 - 2016-02-28 17:35 - 00005568 _____ C:\Users\monotone\AppData\Roaming\md.xml 2016-02-28 17:35 - 2016-02-28 17:35 - 00000000 ____D C:\Users\Все пользователи\Ronzaps 2016-02-27 16:34 - 2016-02-27 16:34 - 00000000 ____D C:\Users\monotone\AppData\Roaming\MailProducts 2016-02-27 16:33 - 2016-02-27 19:29 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN 2016-02-27 16:33 - 2016-02-27 19:29 - 00000000 ____D C:\Program Files (x86)\Free VPN 2016-02-27 14:15 - 2016-02-27 14:15 - 00000000 __HDC C:\ProgramData\{90D8CE90-3E6B-4034-A281-BC9F19B60A5B} 2016-02-27 14:15 - 2016-02-27 14:15 - 00000000 __HDC C:\ProgramData\{42DEBD12-9D09-4B77-B434-2EF604E45D3D} R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-02-28] () [File not signed] 2016-02-28 17:36 - 2016-02-28 20:36 - 00000000 ____D C:\Program Files\BitTorrent Task: {25ADDD91-52FC-4A01-B171-DFA3C0AAC9CE} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\UpService\UpService.exe <==== ATTENTION Task: {2C898416-EFD7-4DF7-8A38-001A6B30E143} - System32\Tasks\noajoyneot => C:\Windows\system32\config\systemprofile\AppData\Local\Incof [2016-02-28] () <==== ATTENTION C:\Windows\system32\config\systemprofile\AppData\Local\Incof Task: {D9FE8659-2217-420C-B718-3976B706BF94} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
файл приложил. А с Образом что делать?
Если не влезет во вложения - загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Вот, пожалуйста: http://rghost.ru/7FK2X5NGW
Загрузчик торрента не помню уже откуда закачал (мог ошибиться ссылкой), но у меня установщик остался. Могу поделиться для науки.
Пришлите загрузчик в соответствии с Приложением 2. Как прислать запрошенные файлы. правил.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref %SystemDrive%\PROGRAMDATA\SERFEVS\FF.HP delref %SystemDrive%\PROGRAMDATA\SERFEVS\FF.NT delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref F:\PROGRAM FILES (X86)\UPDATER\UPDATER.EXE delref F:\PROGRAM FILES (X86)\UPDATER\UPDATER.DLL delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE delref E:\PROGRAMS\UTORRENT.EXE deltmp restart
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
А если загрузчика в AVZ нет?
Вот лог:
Так укажите ему, где он.
В принципе, всё.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Карантин загрузил. Надеюсь это тот самый загрузчик.
Деинсталяцию провёл, папку удалил.
Рекомендации почитаю обязательно. Спасибо большое за помощь.
Скрытый текст
Ей богу, никогда столько мороки не было с вирусом.Скрыть
Выглядит, кстати, как легальный. Именно с этого файла устанавливали?
WBR,
Vadim
Вот и я про тоже, а устанавливал с него. Других на диске не обнаружил. К сожалению я снес все браузеры, один из которых участвовал в скачивании загрузчика, который мог быть заражен, поэтому не смогу ссылку на ресурс дать.
Уважаемый(ая) Franchesco, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.