не могу понять, где подцепил эту заразу, но третий день подряд устанавливается куча приложений, и чистил и хвосты удалял, новый день и все по новому, логи сделаны согласно инструкциям
hijackthis.log
virusinfo_syscheck.zip
не могу понять, где подцепил эту заразу, но третий день подряд устанавливается куча приложений, и чистил и хвосты удалял, новый день и все по новому, логи сделаны согласно инструкциям
hijackthis.log
virusinfo_syscheck.zip
Уважаемый(ая) Данис1981, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\raydld\ihpmserver.exe'); TerminateProcessByName('c:\programdata\gwdmg\wdman.exe'); StopService('WdMan'); StopService('ihpmServer'); StopService('Pednici'); StopService('zigipyro'); QuarantineFileF('c:\program files (x86)\raydld', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\gwdmg', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('C:\ProgramData\Appverifier', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFile('c:\program files (x86)\raydld\ihpmserver.exe', ''); QuarantineFile('c:\programdata\gwdmg\wdman.exe', ''); QuarantineFile('C:\ProgramData\Appverifier\AppVerifierService.exe', ''); QuarantineFile('C:\Program Files\groover290220161818\Caruhori.exe', ''); QuarantineFile('C:\Program Files\groover290220161818\csrcc.exe', ''); QuarantineFile('C:\ProgramData\service.exe', ''); QuarantineFile('C:\Program Files\groover290220161818\Oevukot.exe', ''); QuarantineFile('C:\Program Files (x86)\HpDef\mDzklc.exe', ''); QuarantineFile('C:\Users\мой\AppData\Roaming\RaedNihxa\Enoef.exe', ''); QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe', ''); QuarantineFile('C:\Program Files\WajaNetEn\ee6b1201f63eadad9c597313452f57cc.exe', ''); QuarantineFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\knsk972C.tmpfs', ''); QuarantineFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\hnsqD8F0.tmp', ''); QuarantineFile('C:\Users\мой\AppData\Local\03000200-1456788203-0500-0006-000700080009\qnscBB26.tmp', ''); QuarantineFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\jnseBBA2.tmp', ''); QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys', ''); QuarantineFile('zwgwytoi.sys', ''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe', ''); QuarantineFile('D:\Documents\systemfile.exe', ''); QuarantineFile('c:\programdata\lightgate.exe', ''); QuarantineFile('C:\Program Files (x86)\SunnyDay3\SunnyDay.exe', ''); QuarantineFile('c:\programdata\homepage.exe', ''); QuarantineFile('C:\Program Files (x86)\MTV20160128\MTView.exe', ''); QuarantineFile('C:\Program Files (x86)\rec_ru_212\rec_ru_212.exe', ''); QuarantineFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', ''); QuarantineFile('C:\Users\мой\AppData\Local\Amigo\Application\amigo.exe', ''); QuarantineFile('c:\programdata\msiql.exe', ''); QuarantineFile('C:\Users\мой\AppData\Local\Birds\birds365.exe', ''); QuarantineFile('C:\Program Files\Sound+\Sound+.exe', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); QuarantineFile('C:\Users\мой\AppData\Local\Amigo\Application\vk.exe', ''); QuarantineFile('C:\Users\мой\AppData\Local\Amigo\Application\ok.exe', ''); QuarantineFile('C:\Program Files\groover290220161818\Buvniae.dll', ''); QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll', ''); QuarantineFile('C:\Users\мой\AppData\Roaming\FreeVPN\FreeVPN.exe', ''); QuarantineFile('C:\Users\мой\appdata\roaming\aspackage\aspackage.exe', ''); QuarantineFile('C:\Users\мой\appdata\roaming\aspackage\uninstall.exe', ''); DeleteFile('c:\program files (x86)\raydld\ihpmserver.exe', '32'); DeleteFile('c:\programdata\gwdmg\wdman.exe', '32'); DeleteFile('C:\ProgramData\Appverifier\AppVerifierService.exe', '32'); DeleteFile('C:\Program Files\groover290220161818\Caruhori.exe', '32'); DeleteFile('C:\Program Files\groover290220161818\csrcc.exe', '32'); DeleteFile('C:\ProgramData\service.exe', '32'); DeleteFile('C:\Program Files\groover290220161818\Oevukot.exe', '32'); DeleteFile('C:\Program Files (x86)\HpDef\mDzklc.exe', '32'); DeleteFile('C:\Users\мой\AppData\Roaming\RaedNihxa\Enoef.exe', '32'); DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe', '32'); DeleteFile('C:\Program Files\WajaNetEn\ee6b1201f63eadad9c597313452f57cc.exe', '32'); DeleteFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\knsk972C.tmpfs', '32'); DeleteFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\hnsqD8F0.tmp', '32'); DeleteFile('C:\Users\мой\AppData\Local\03000200-1456788203-0500-0006-000700080009\qnscBB26.tmp', '32'); DeleteFile('C:\Program Files (x86)\03000200-1456769504-0500-0006-000700080009\jnseBBA2.tmp', '32'); DeleteFile('C:\WINDOWS\system32\drivers\bsdriver.sys', '32'); DeleteFile('zwgwytoi.sys', '32'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe', '32'); DeleteFile('D:\Documents\systemfile.exe', '32'); DeleteFile('c:\programdata\lightgate.exe', '32'); DeleteFile('C:\Program Files (x86)\SunnyDay3\SunnyDay.exe', '32'); DeleteFile('c:\programdata\homepage.exe', '32'); DeleteFile('C:\Program Files (x86)\MTV20160128\MTView.exe', '32'); DeleteFile('C:\Program Files (x86)\rec_ru_212\rec_ru_212.exe', '32'); DeleteFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '32'); DeleteFile('C:\Users\мой\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('c:\programdata\msiql.exe', '32'); DeleteFile('C:\Users\мой\AppData\Local\Birds\birds365.exe', '32'); DeleteFile('C:\Program Files\Sound+\Sound+.exe', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFile('C:\Users\мой\AppData\Local\Amigo\Application\vk.exe', '32'); DeleteFile('C:\Users\мой\AppData\Local\Amigo\Application\ok.exe', '32'); DeleteFile('C:\Program Files\groover290220161818\Buvniae.dll', '32'); DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll', '32'); DeleteFile('C:\Users\мой\AppData\Roaming\FreeVPN\FreeVPN.exe', '32'); DeleteFile('C:\Users\мой\appdata\roaming\aspackage\aspackage.exe', '32'); DeleteFile('C:\Users\мой\appdata\roaming\aspackage\uninstall.exe', '32'); DeleteService('WdMan'); DeleteService('AppVerifier'); DeleteService('ihpmServer'); DeleteService('07B0E670-9146-45CE-8853-6E43F64E7911'); DeleteService('csrcc'); DeleteService('GoogleChromeUpService'); DeleteService('groover290220161818 Updater'); DeleteService('HSystem'); DeleteService('Pednici'); DeleteService('SSFK'); DeleteService('WajaNetEn Monitor'); DeleteService('winyzywezbt'); DeleteService('wucotusy'); DeleteService('zigipyro'); DeleteService('zutuzuni'); DeleteService('bsdriver'); DeleteService('zwgwytoi'); DeleteFileMask('c:\program files (x86)\raydld', '*', true); DeleteFileMask('c:\programdata\gwdmg', '*', true); DeleteFileMask('C:\ProgramData\Appverifier', '*', true); DeleteFileMask('C:\Program Files\groover290220161818', '*', true); DeleteFileMask('C:\Program Files (x86)\HpDef', '*', true); DeleteFileMask('C:\Users\мой\AppData\Roaming\RaedNihxa', '*', true); DeleteFileMask('C:\Program Files (x86)\SFK', '*', true); DeleteFileMask('C:\Program Files\WajaNetEn', '*', true); DeleteFileMask('C:\Program Files (x86)\ShopperPro', '*', true); DeleteFileMask('C:\Program Files (x86)\SunnyDay3', '*', true); DeleteFileMask('C:\Program Files (x86)\MTV20160128', '*', true); DeleteFileMask('C:\Program Files (x86)\rec_ru', '*', true); DeleteFileMask('C:\Program Files (x86)\win_en_77', '*', true); DeleteFileMask('C:\Users\мой\AppData\Local\Amigo', '*', true); DeleteFileMask('C:\Users\мой\AppData\Local\Birds', '*', true); DeleteFileMask('C:\Program Files\Sound+', '*', true); DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true); DeleteFileMask('C:\ProgramData\ShopperPro', '*', true); DeleteFileMask('C:\Users\мой\AppData\Roaming\FreeVPN', '*', true); DeleteFileMask('C:\Users\мой\appdata\roaming\aspackage', '*', true); DeleteDirectory('c:\program files (x86)\raydld'); DeleteDirectory('c:\programdata\gwdmg'); DeleteDirectory('C:\ProgramData\Appverifier'); DeleteDirectory('C:\Program Files\groover290220161818'); DeleteDirectory('C:\Program Files (x86)\HpDef'); DeleteDirectory('C:\Users\мой\AppData\Roaming\RaedNihxa'); DeleteDirectory('C:\Program Files (x86)\SFK'); DeleteDirectory('C:\Program Files\WajaNetEn'); DeleteDirectory('C:\Program Files (x86)\ShopperPro'); DeleteDirectory('C:\Program Files (x86)\SunnyDay3'); DeleteDirectory('C:\Program Files (x86)\MTV20160128'); DeleteDirectory('C:\Program Files (x86)\rec_ru'); DeleteDirectory('C:\Program Files (x86)\win_en_77'); DeleteDirectory('C:\Users\мой\AppData\Local\Amigo'); DeleteDirectory('C:\Users\мой\AppData\Local\Birds'); DeleteDirectory('C:\Program Files\Sound+'); DeleteDirectory('C:\Program Files\SpaceSoundPro'); DeleteDirectory('C:\ProgramData\ShopperPro'); DeleteDirectory('C:\Users\мой\AppData\Roaming\FreeVPN'); DeleteDirectory('C:\Users\мой\appdata\roaming\aspackage'); DelBHO('{73B5996C-1539-46FD-87CB-2E4B05AF0508}'); DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}'); ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SPDriver'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemClose'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LightGate'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sun3'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HomePageHelper'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MTview'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rec_ru_212'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'win_en_77'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amigo'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Birds'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2162619887-1682620875-2099386505-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Run', 'amigo'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2162619887-1682620875-2099386505-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Run', 'msiql'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2162619887-1682620875-2099386505-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Run', 'Birds'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Sound+'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IDSCPRODUCT'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
скрипты выполнены, карантин отправил
новый лог virusinfo_syscheck.zip
и второй лог AdwCleaner[S1].txt
Последний раз редактировалось Данис1981; 03.03.2016 в 01:14.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Удалил всё найденное в AdwCleaner,
отчет
AdwCleaner[C1].txt
кэш куки очищены
5 минут полет нормальный
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Выполнено
FRST.txt
Addition.txt
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKU\S-1-5-21-2162619887-1682620875-2099386505-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419 SearchScopes: HKU\S-1-5-21-2162619887-1682620875-2099386505-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B74D3642D-1DB5-4908-9848-179AFC51DE17%7D&gp=811022 SearchScopes: HKU\S-1-5-21-2162619887-1682620875-2099386505-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B74D3642D-1DB5-4908-9848-179AFC51DE17%7D&gp=811022 2016-02-29 23:12 - 2016-02-29 23:10 - 00000765 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2016-02-29 22:05 - 2016-02-29 22:05 - 00000000 ____D C:\Users\мой\AppData\Roaming\MailProducts 2016-02-29 22:04 - 2016-03-03 02:59 - 00002334 _____ C:\Users\мой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk 2016-02-29 21:32 - 2016-02-29 21:32 - 00000000 ____D C:\Users\мой\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго Task: {D56ED767-CD2D-47A5-926E-E10D95F571C6} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\мой\AppData\Roaming\FreeVPN\FreeVPN.exe FirewallRules: [{F2D60428-0F67-4D5A-98A2-432A3DB54F34}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-OH30U.tmp\setup1277.tmp FirewallRules: [{DD4A2E9E-96BB-464A-A1BD-DEE8537194B9}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-OH30U.tmp\setup1277.tmp FirewallRules: [{E8C7EC81-970B-4F4C-8558-CA7AF05DB5CA}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-3S7KF.tmp\setup15824.tmp FirewallRules: [{38DA9BD8-D6A8-46D6-AA9C-A90DF1BDA2A0}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-3S7KF.tmp\setup15824.tmp FirewallRules: [{FC867C90-AC00-409E-B72E-4C28C75F8E15}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-0CQKA.tmp\setup17891.tmp FirewallRules: [{1EACEF87-308B-4C91-A0C0-26CB78EDFECA}] => (Allow) C:\Users\мой\AppData\Local\Temp\is-0CQKA.tmp\setup17891.tmp FirewallRules: [{BE596BF1-2DD1-4F02-A640-21AD517DE506}] => (Allow) C:\Users\мой\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Fixlog.txt
вот лог,
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Она не нужна, место занимает.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Данис1981, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.