Printable View
Пришёл с принт-сервиса, вставил флэшку в компьютер и начались какие-то непонятные установки программ. Прогнал компьютер утилитой Dr.WebCureIt!, которая нашла более 100 вирусов (trojan, backdoor...). Вроде бы тише стало, но в Пуск-Все программы появился InternetExplorer странный, в свойствах ярлыка которого:
Объект:[B] "C:\Program Files\Internet Explorer\iexplore.exe"
[/B]Рабочая папка: [B]%HOMEDRIVE%%HOMEPATH%[/B]
Помогите, пожалуйста, очистить компьютер от этой бяки.
Уважаемый(ая) [B]playkill[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\hnsh1b4.tmp');
TerminateProcessByName('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\jnsm1a6.tmp');
TerminateProcessByName('c:\docume~1\07c4~1\locals~1\temp\nsw38.tmp');
TerminateProcessByName('c:\docume~1\07c4~1\locals~1\temp\nsw95.tmp');
TerminateProcessByName('c:\documents and settings\Алексей\local settings\application data\00000000-1448334776-0000-0000-001d7dd1f5e3\qnsi7c.tmp');
TerminateProcessByName('c:\documents and settings\Алексей\local settings\application data\00000000-1448298356-0000-0000-001d7dd1f5e3\snsh1f4.tmp');
StopService('kunitile');
StopService('xeqywyby');
StopService('zexovuji');
StopService('4587AC435F701424');
QuarantineFile('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\hnsh1b4.tmp', '');
QuarantineFile('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\jnsm1a6.tmp', '');
QuarantineFile('c:\docume~1\07c4~1\locals~1\temp\nsw38.tmp', '');
QuarantineFile('c:\docume~1\07c4~1\locals~1\temp\nsw95.tmp', '');
QuarantineFile('c:\documents and settings\Алексей\local settings\application data\00000000-1448334776-0000-0000-001d7dd1f5e3\qnsi7c.tmp', '');
QuarantineFile('c:\documents and settings\Алексей\local settings\application data\00000000-1448298356-0000-0000-001d7dd1f5e3\snsh1f4.tmp', '');
QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\nsz98.tmp\Math.dll', '');
QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\nsz98.tmp\nsCBHTML5.dll', '');
QuarantineFile('c:\documents and settings\администратор\local settings\temp\D6234440-495FEF40-18C13F8-2D17E2C8\768192da85.sys', '');
QuarantineFile('C:\Documents and Settings\Алексей\Application Data\repulsion_1033\s_inst.exe', '');
QuarantineFile('C:\Documents and Settings\Алексей\Application Data\WindowsUpdater\Updater.exe', '');
DeleteFile('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\hnsh1b4.tmp', '32');
DeleteFile('c:\program files\00000000-1448283910-0000-0000-001d7dd1f5e3\jnsm1a6.tmp', '32');
DeleteFile('c:\docume~1\07c4~1\locals~1\temp\nsw38.tmp', '32');
DeleteFile('c:\docume~1\07c4~1\locals~1\temp\nsw95.tmp', '32');
DeleteFile('c:\documents and settings\Алексей\local settings\application data\00000000-1448334776-0000-0000-001d7dd1f5e3\qnsi7c.tmp', '32');
DeleteFile('c:\documents and settings\Алексей\local settings\application data\00000000-1448298356-0000-0000-001d7dd1f5e3\snsh1f4.tmp', '32');
DeleteFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\nsz98.tmp\Math.dll', '32');
DeleteFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\nsz98.tmp\nsCBHTML5.dll', '32');
DeleteFile('c:\documents and settings\администратор\local settings\temp\D6234440-495FEF40-18C13F8-2D17E2C8\768192da85.sys', '32');
DeleteFile('C:\Program Files\SmartSaver+ 15\1cf28f6a-6d0b-4255-a4c9-552367005f19.exe', '32');
DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe', '32');
DeleteFile('C:\Documents and Settings\Application', '32');
DeleteFile('C:\Documents and Settings\Алексей\Application Data\repulsion_1033\s_inst.exe', '32');
DeleteFile('C:\Documents and Settings\Алексей\Application Data\WindowsUpdater\Updater.exe', '32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\AlterGeo\Update', '32');
DeleteService('kunitile');
DeleteService('xeqywyby');
DeleteService('zexovuji');
DeleteService('4587AC435F701424');
DeleteService('nypikyjy');
DeleteService('benyhuse');
DeleteService('Updater.Mail.Ru');
DeleteFileMask('C:\Program Files\SmartSaver+ 15', '*', true);
DeleteFileMask('C:\Documents and Settings\Алексей\Application Data\repulsion_1033', '*', true);
DeleteFileMask('C:\Documents and Settings\Алексей\Application Data\WindowsUpdater', '*', true);
DeleteDirectory('C:\Program Files\SmartSaver+ 15');
DeleteDirectory('C:\Documents and Settings\Алексей\Application Data\repulsion_1033');
DeleteDirectory('C:\Documents and Settings\Алексей\Application Data\WindowsUpdater');
ExecuteFile('schtasks.exe', '/delete /TN "1cf28f6a-6d0b-4255-a4c9-552367005f19b" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdateTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "OXDX" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PDMA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "repulsion_1033" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('zexovuji');
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Всё выполнил.:>
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
delref %SystemDrive%\DOCUME~1\07C4~1\LOCALS~1\TEMP\WINDOWSUPDATEKB12695__7428_IL112388.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСЕЙ\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\SAVEFROM.NET.OEX
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСЕЙ\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\SAVEFROM.NET.OEX
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCHMLJAAGNCPKOJNAKLLLMCEBPHKCHIP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE
delref %SystemDrive%\PROGRAM FILES\SMARTSAVER+ 15\C1A451C9-07DB-4A75-AD99-0888DC3C8BF0.EXE
delref %SystemDrive%\PROGRAM FILES\SMARTSAVER+ 15\1CF28F6A-6D0B-4255-A4C9-552367005F19.EXE
delref ERRORS.NEWINPUTINFOSERVICE.COM
delref LOGS.NEWINPUTINFOSERVICE.COM
delref STATS.NEWINPUTINFOSERVICE.COM
uidel MsiExec.exe /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
uidel MsiExec.exe /I{D492942E-9368-48D9-BB8B-68E8E4CE2D43}
delref %SystemDrive%\DOCUME~1\07C4~1\LOCALS~1\TEMP\HYD17A.TMP.1443227394\HTA\3RDPARTY\OCCOMSDK.DLL
regt 5
sreg
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
del %Sys32%\DRIVERS\BDSANDBOX.SYS
deltmp
areg[/code]Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, решена ли проблема.
Спасибо, вроде всё нормально.
Обновите Adobe Flash Player 17 ActiveX и Adobe Flash Player 18 NPAPI до актуальных версий [URL="https://get.adobe.com/ru/flashplayer/"]отсюда[/URL] или через автообновление, настраивается в панели управления.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Хорошо, спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]