Здравствуйте ,Помогите :С.. скачала прогу а получила вирус уже удаляла через реестр вирус yamdex.net .
все остальное не могу удалить , вк лагает , и в браузере выкидывает на какие то страницы ,выдает вот это "Laravel PHP Framework"
Printable View
Здравствуйте ,Помогите :С.. скачала прогу а получила вирус уже удаляла через реестр вирус yamdex.net .
все остальное не могу удалить , вк лагает , и в браузере выкидывает на какие то страницы ,выдает вот это "Laravel PHP Framework"
Уважаемый(ая) [B]Ксения666999[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\JaQUzqb.exe','');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
QuarantineFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Program Files (x86)\rec_ru_57\rec_ru_57.exe','');
SetServiceStart('wsafd_1_10_0_19', 4);
DeleteService('wsafd_1_10_0_19');
DeleteService('vicoqudu');
DeleteService('nipefoli');
QuarantineFile('C:\Program Files (x86)\06EEAA00-1437421737-81E3-2525-BCEE7B002C80\hnsr5FA.tmp','');
QuarantineFile('C:\Program Files (x86)\06EEAA00-1437421737-81E3-2525-BCEE7B002C80\knst9A18.tmpfs','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe','');
SetServiceStart('wsasvc_1.10.0.19', 4);
DeleteService('wsasvc_1.10.0.19');
QuarantineFile('C:\WINDOWS\system32\drivers\wsafd_1_10_0_19.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\ZykT5EPcpJ.dll','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\Interfaces32.dll','');
TerminateProcessByName('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe');
QuarantineFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\gmsd_ru_005010042\upgmsd_ru_005010042.exe');
QuarantineFile('c:\users\admin\appdata\local\gmsd_ru_005010042\upgmsd_ru_005010042.exe','');
TerminateProcessByName('c:\program files (x86)\torrent search\ieef\4l2jbom7ny.exe');
QuarantineFile('c:\program files (x86)\torrent search\ieef\4l2jbom7ny.exe','');
DeleteFile('c:\program files (x86)\torrent search\ieef\4l2jbom7ny.exe','32');
DeleteFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\Interfaces32.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\wsafd_1_10_0_19.sys','32');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe','32');
DeleteFile('C:\Program Files (x86)\06EEAA00-1437421737-81E3-2525-BCEE7B002C80\knst9A18.tmpfs','32');
DeleteFile('C:\Program Files (x86)\06EEAA00-1437421737-81E3-2525-BCEE7B002C80\hnsr5FA.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010042');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_57');
DeleteFile('C:\Program Files (x86)\rec_ru_57\rec_ru_57.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010042.exe');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search.job','64');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search2.job','64');
DeleteFile('C:\Program Files (x86)\Torrent Search\JaQUzqb.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Torrent Search','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Torrent Search2','64');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\{1D6C106C-973E-441B-B2E1-F63A5F6D65B0}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{A4CA8852-77F4-4222-B677-BB5BA5A28854}','64');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe','32');
DeleteFile('C:\Users\Admin\appdata\local\smartweb\swhk.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
[QUOTE=Ксения666999;1299601]Здравствуйте ,Помогите :С.. скачала прогу а получила вирус уже удаляла через реестр вирус yamdex.net .
все остальное не могу удалить , вк лагает , и в браузере выкидывает на какие то страницы ,выдает вот это "Laravel PHP Framework"[/QUOTE]
выполнила код.
и вот присылаю "[B]c:\quarantine.zip"[/B]
Новые логи где?
это же?...
"virusinfo_syscheck.zip " некорректный файл выдавало , когда пыталась закрепить к диалогу.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
вот...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
...
Удалите в МВАМ все найденное
Удалила
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
не могу отправить вложением файл FRST.txt так как выдает что превышает размер кб на это форме ...
Заархивируйте
пожалуйста..
Что в файлах?
[QUOTE]C:\Users\Admin\AppData\Roaming\00B3A9C68E177ADA543AEA2F7C3E989D
C:\Users\Admin\AppData\Roaming\103233CBFD95092FF7D8896C05A82985
C:\Users\Admin\AppData\Roaming\280067F0ED2755C2BBD4B0D516399CDB
C:\Users\Admin\AppData\Roaming\2CA5DC946BFB70C05725B07ED6BCB640
C:\Users\Admin\AppData\Roaming\31008EBFBAAD199FB8ACD3E3659E3F58
C:\Users\Admin\AppData\Roaming\3D7432A86449FCC29784BB3C967A4221
C:\Users\Admin\AppData\Roaming\42EDDBD73E276B54B4549D134359594A
C:\Users\Admin\AppData\Roaming\48DB7AB10687AD79865343A0A8E5D62D
C:\Users\Admin\AppData\Roaming\51BAC76BD479F3566A7D3C46F5D8730F
C:\Users\Admin\AppData\Roaming\53831FF328F6BF8FD2450CC504EC897B
C:\Users\Admin\AppData\Roaming\69E8C4F9F19DC57A4D7A37C18B8EDD53
C:\Users\Admin\AppData\Roaming\7CA215A14CD69D8D07FF4A868EECE424
C:\Users\Admin\AppData\Roaming\7DB23B23631C0CC9AE2FA9CF0DB8C100
C:\Users\Admin\AppData\Roaming\94A830AF19B1060918366C31133AB56F
C:\Users\Admin\AppData\Roaming\A9FC6F14D9B7AC72DC64742F9499F22E
C:\Users\Admin\AppData\Roaming\C25C5AB985FFDCAFD5A8D438E0012AA9
C:\Users\Admin\AppData\Roaming\D51B4ECF1A1BCCAE04C8770974C08451
C:\Users\Admin\AppData\Roaming\E203D517E73D70B872C56F21E474831A
C:\Users\Admin\AppData\Roaming\E28121B1CE2A8120DFBB9F49D8EF6833
C:\Users\Admin\AppData\Roaming\EC6FB91F7B1462C3968C8371178F697B
C:\Users\Admin\AppData\Roaming\FAFAD8C8AFD54A7909CBD3D2D055C039[/QUOTE]
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a13350-403&apn_uid=1073942173424921&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
BHO-x32: PlusmoBHO Class -> {E60EE7CB-74C0-4D51-960E-F2BB3B576DEE} -> C:\Users\Admin\AppData\Local\Plusmo\IE helper\PlusmoIE.dll No File
FF Extension: TSearch - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\vt4od2iy.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-07-29]
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
А что делать с этими файлами? я не знаю что это .. :
"[COLOR=#333333]C:\Users\Admin\AppData\Roaming\00B3A9C68E177ADA543 AEA2F7C3E989D[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\103233CBFD95092FF7D 8896C05A82985[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\280067F0ED2755C2BBD 4B0D516399CDB[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\2CA5DC946BFB70C0572 5B07ED6BCB640[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\31008EBFBAAD199FB8A CD3E3659E3F58[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\3D7432A86449FCC2978 4BB3C967A4221[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\42EDDBD73E276B54B45 49D134359594A[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\48DB7AB10687AD79865 343A0A8E5D62D[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\51BAC76BD479F3566A7 D3C46F5D8730F[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\53831FF328F6BF8FD24 50CC504EC897B[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\69E8C4F9F19DC57A4D7 A37C18B8EDD53[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\7CA215A14CD69D8D07F F4A868EECE424[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\7DB23B23631C0CC9AE2 FA9CF0DB8C100[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\94A830AF19B10609183 66C31133AB56F[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\A9FC6F14D9B7AC72DC6 4742F9499F22E[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\C25C5AB985FFDCAFD5A 8D438E0012AA9[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\D51B4ECF1A1BCCAE04C 8770974C08451[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\E203D517E73D70B872C 56F21E474831A[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\E28121B1CE2A8120DFB B9F49D8EF6833[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\EC6FB91F7B1462C3968 C8371178F697B[/COLOR]
[COLOR=#333333]C:\Users\Admin\AppData\Roaming\FAFAD8C8AFD54A7909C BD3D2D055C039"[/COLOR]
[quote="Ксения666999;1300108"]А что делать с этими файлами? я не знаю что это .. :[/quote]тогда удаляйте
Хорошо , мне еще что не будь сделать..?
Проблема решена?
Да ,думаю. Все пока в норме :)
Спасибо Большое ребята.
Как смогу так поддержу ваш проект .
очень помогли ...