Господа и дамы, прошу о помощи с этим надоедливым вирусом
Printable View
Господа и дамы, прошу о помощи с этим надоедливым вирусом
Уважаемый(ая) [B]Dugdy[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Л\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
QuarantineFile('C:\Program Files (x86)\version99PaceItUp\P8PaceItUpb18.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\F95FC87D-7D69-40B2-A02C-F15243EDA849.exe','');
QuarantineFile('C:\Windows\system32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys','');
DeleteService('{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64');
DeleteService('{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64');
DeleteService('{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64');
DeleteFile('C:\Windows\system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\F95FC87D-7D69-40B2-A02C-F15243EDA849.exe','32');
DeleteFile('C:\Program Files (x86)\version99PaceItUp\P8PaceItUpb18.exe','32');
DeleteFile('C:\Windows\Tasks\PaceItUp Update.job','32');
DeleteFile('C:\Windows\system32\Tasks\PaceItUp Update','64');
DeleteFile('C:\Users\Л\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Логи прикрепил, карантин вроде как отправил
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделано
Удалите в МВАМ все, [B]кроме[/B]
[CODE]RiskWare.Tool.CK, C:\Users\Л\Desktop\Все\keygen.exe, , [af5f55d8d5b6a4927eca7e920ef48b75],
HackTool.CheatEngine, C:\Users\Л\Downloads\the.binding_of_isaac_rebirth_v1.05_trainer_5.zip, , [010d2b02f893c175700ca1b14db35aa6],
HackTool.CheatEngine, C:\Users\Л\Downloads\the_binding_of_isaac_wrath_of_the_lamb_steam_trainer_2_mrantifun.zip, , [1cf2e5485d2e53e390ec7ad80bf518e8],
PUP.Optional.OpenCandy, C:\Users\Л\Downloads\CheatEngine64.exe, , [cb4376b7c1ca4aec7617bbd8ee138080],
PUP.Optional.OpenCandy, Z:\программы для работ различного вида\DAEMONToolsPro510-0333.exe, , [85892409bccf39fd7e2f236658ade41c],
HackTool.CheatEngine, Z:\Steam\steamapps\common\the binding of isaac\The Binding of Isaac Wrath Of The Lamb Steam Trainer +2 MrAntiFun.EXE, , [f519200da0eb3df959233e14b54b58a8],
[/CODE]
Удалил, проблема не решена
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Приложил
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [amigo] => C:\Users\DanyaGTA\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [aeuybfizla] => explorer "http://rhereso.ru/?utm_source=uoua03&utm_content=17edd49f11242b062233f26a013b7073" <===== ATTENTION
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [KometaLaunchPanel] => C:\Users\DanyaGTA\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [KometaAutoLaunch_78F454B97439151F2668C3F6FA653874] => "C:\Users\DanyaGTA\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3578170459-3341867797-303081324-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3578170459-3341867797-303081324-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-05]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-07-13]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-08-06]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-07-31]
S3 2RbVqZ5Qb; \??\C:\Users\99AC~1\AppData\Local\Temp\2RbVqZ5Qb.sys [X]
S3 7jx7Uc7Ng; \??\C:\Users\99AC~1\AppData\Local\Temp\7jx7Uc7Ng.sys [X]
S3 88SzHdz54; \??\C:\Users\99AC~1\AppData\Local\Temp\88SzHdz54.sys [X]
S3 9B1Zuoee5; \??\C:\Users\99AC~1\AppData\Local\Temp\9B1Zuoee5.sys [X]
S3 9nlALiZMy; \??\C:\Windows\system32\drivers\9nlALiZMy.sys [X]
S3 AgocyF9Hl; \??\C:\Users\99AC~1\AppData\Local\Temp\AgocyF9Hl.sys [X]
S3 cXb38Yb0Y; \??\C:\Users\99AC~1\AppData\Local\Temp\cXb38Yb0Y.sys [X]
S3 eGh3HGGj2; \??\C:\Users\99AC~1\AppData\Local\Temp\eGh3HGGj2.sys [X]
2015-07-06 22:10 - 2015-08-30 10:50 - 00000000 ____D C:\Users\Л\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
2015-07-06 18:09 - 2015-08-30 10:50 - 00000000 ____D C:\Users\Л\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki
2015-07-06 18:09 - 2015-08-30 10:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2015-07-06 18:08 - 2015-08-18 20:14 - 00000000 ____D C:\Program Files (x86)\PP助手2.0
2015-07-06 18:08 - 2015-07-06 18:08 - 00000000 ____D C:\Users\Л\AppData\Roaming\ahelper
Task: {C959303C-B94A-4161-AC7D-CDF0639CB584} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {D0B91B4E-DE4C-4B6A-9456-0247047ABF67} - \DNSATLANTIC -> No File <==== ATTENTION
Task: {F52C86BB-CBF9-4DB3-AC9D-35D6B92F0F09} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Готово
Что с проблемой?
Увы, не решена
Пофиксите в HiJack
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{791638EE-A975-47AB-B695-B869C289B483}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{F02D0DF3-7818-41CA-9C10-FF419AEF11AA}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174
[/CODE]Сделайте новый лог после перезагрузки