У меня появился какой-то вирус, который начал занимать много места, плюс к етому он продолжает дальше занимать "Мб" (память) .Прошу, помогите мне от него избавиться.
Printable View
У меня появился какой-то вирус, который начал занимать много места, плюс к етому он продолжает дальше занимать "Мб" (память) .Прошу, помогите мне от него избавиться.
Уважаемый(ая) [B]Andriy 008[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Антивирус 360 сами ставили?
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\baidu\baidu.exe','');
QuarantineFile('C:\Program Files (x86)\Jumpstart\jswtrayutil.exe','');
QuarantineFile('C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll','');
QuarantineFile('C:\Program Files (x86)\ShopperPro\SPremove.exe','');
QuarantineFile('C:\Program Files (x86)\Uninstall Information\97\4449\uninstall.exe','');
QuarantineFile('C:\Program Files\Java\Java.exe','');
QuarantineFile('C:\Users\life\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\life\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip','');
QuarantineFile('C:\Users\life\Downloads\MicroHack.exe','');
QuarantineFile('D:\Games\info.exe','');
DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32');
DeleteFile('C:\Program Files (x86)\ShopperPro\SPremove.exe','32');
DeleteFile('C:\Users\life\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\life\AppData\Local\Kometa\kometaup.exe','32');
DeleteFileMask('C:\Users\life\AppData\Local\Kometa', '*', true, ' ');
DeleteDirectory('C:\Users\life\AppData\Local\Kometa');
DeleteFileMask('C:\Program Files (x86)\ShopperPro', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\ShopperPro');
DeleteFileMask('C:\Program Files (x86)\baidu', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\baidu');
DeleteFile('C:\Windows\system32\Tasks\{00C31CF9-F3B4-4816-A999-DB91D7EB8F72}','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cljfrobpte','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_611C4010BC442835CBF2AAF5D7870725','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Здравствуйте)
Антивирус 360 Total Security ставил сам.
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Отчет
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово!
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShortcutTarget: Несколько пальцев - Ярлык.lnk -> (No File)
BootExecute: autocheck autochk *
HKU\S-1-5-21-3370368720-1918979616-1957759779-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Weatherbar x64 Class -> {B0B85626-F9B4-47C0-9151-FB9A45ABCD37} -> C:\Program Files\tooldev342\Weatherbar\\TracersToolbarBHO_x64.dll => No File
BHO-x32: Kwyshell MidpX -> {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} -> C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll => No File
Toolbar: HKLM-x32 - Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll No File
Toolbar: HKU\S-1-5-21-3370368720-1918979616-1957759779-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
2015-12-23 15:15 - 2015-12-23 15:15 - 00000000 ____D C:\Users\Все пользователи\zvKTqsay
2015-12-23 15:15 - 2015-12-23 15:15 - 00000000 ____D C:\ProgramData\zvKTqsay
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\Users\Все пользователи\OKolwkzJ
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\Users\Все пользователи\fHPVTILBFCLiGqM
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\ProgramData\OKolwkzJ
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\ProgramData\fHPVTILBFCLiGqM
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\Users\Все пользователи\xzUoFDftV
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\Users\Все пользователи\etEhpKsSIBeQVC
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\ProgramData\xzUoFDftV
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\ProgramData\etEhpKsSIBeQVC
2015-12-22 17:05 - 2015-12-22 17:05 - 00000000 ____D C:\Users\Все пользователи\dtcATmshaYF
2015-12-22 17:05 - 2015-12-22 17:05 - 00000000 ____D C:\ProgramData\dtcATmshaYF
2015-12-22 16:23 - 2015-12-22 16:23 - 00000000 ____D C:\Users\Все пользователи\UwuZngQ
2015-12-22 16:23 - 2015-12-22 16:23 - 00000000 ____D C:\ProgramData\UwuZngQ
2015-12-22 12:23 - 2015-12-22 12:23 - 00000000 ____D C:\Users\Все пользователи\dnNZZWrtOOChhb
2015-12-22 12:23 - 2015-12-22 12:23 - 00000000 ____D C:\ProgramData\dnNZZWrtOOChhb
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\xRsWfjrZQhFcvh
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\OFOCsLt
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\EOFyyuK
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\xRsWfjrZQhFcvh
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\OFOCsLt
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\EOFyyuK
2015-12-22 11:49 - 2015-12-23 17:37 - 00000000 ____D C:\Program Files (x86)\Oursoft
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\Users\Все пользователи\lNpWbI
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\Users\Все пользователи\LkcTOt
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\ProgramData\lNpWbI
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\ProgramData\LkcTOt
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\Users\Все пользователи\V
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\Users\Все пользователи\RYj
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\ProgramData\V
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\ProgramData\RYj
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\vZouPNUUe
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\tEdVexN
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\bcgoKLKTPT
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\vZouPNUUe
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\tEdVexN
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\bcgoKLKTPT
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\Users\Все пользователи\QPpDifLJDJ
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\Users\Все пользователи\NnsVmPIGtJAjDfE
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\ProgramData\QPpDifLJDJ
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\ProgramData\NnsVmPIGtJAjDfE
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\tf
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\oYWXKhEfdNIM
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\JJCJdJDl
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\life\AppData\Local\FFFRtNwuy
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\tf
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\oYWXKhEfdNIM
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\JJCJdJDl
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\Users\Все пользователи\ZsfHaQflgP
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\Users\Все пользователи\VrBtVMvTuEc
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\ProgramData\ZsfHaQflgP
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\ProgramData\VrBtVMvTuEc
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\Users\Все пользователи\tKRVFgcK
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\Users\Все пользователи\NVPYcxZi
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\ProgramData\tKRVFgcK
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\ProgramData\NVPYcxZi
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\xCJSyGjA
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\W
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\JkNwsWjVbbscni
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\xCJSyGjA
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\W
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\JkNwsWjVbbscni
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\zcnvqAXYUJEuBF
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\TBpUjGcwefi
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\sKMNTtBpscqD
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\BCMfMYyYWQO
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\life\AppData\Local\Hostinstaller
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\zcnvqAXYUJEuBF
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\TBpUjGcwefi
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\sKMNTtBpscqD
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\BCMfMYyYWQO
2015-12-16 21:13 - 2015-10-18 14:20 - 00000000 ____D C:\Users\Все пользователи\ProductData
2015-12-16 21:13 - 2015-10-18 14:20 - 00000000 ____D C:\ProgramData\ProductData
2013-12-08 14:32 - 2013-12-08 14:32 - 0005095 _____ () C:\ProgramData\xpbthzbm.qqq
CustomCLSID: HKU\S-1-5-21-3370368720-1918979616-1957759779-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\life\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => No File
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {C479FFC7-C5E1-4E5C-9F4C-D3BBF6395583} - \{00C31CF9-F3B4-4816-A999-DB91D7EB8F72} -> No File <==== ATTENTION
Shortcut: C:\Users\life\Desktop\Робочий стол\Браузери\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\chrome.bat (No File)
Shortcut: C:\Users\life\Desktop\Робочий стол\Браузери\Оpеrа.lnk -> C:\launcher.bat (No File)
ShortcutWithArgument: C:\Users\life\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Скриншоты в Яндекс.Диске.lnk -> C:\Users\life\AppData\Roaming\YandexDiskScreenshotEditor.bat () -> --"hxxp://searchesc-sel.ru"
ShortcutWithArgument: C:\Users\life\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk -> C:\Users\life\AppData\Roaming\YandexDiskStarter.bat () -> --"hxxp://searchesc-sel.ru"
AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:bQHvG5Y469Yi3zAuKJFvzSA
AlternateDataStreams: C:\Program Files\Common Files\System:zMX6GiGtqQzil2wn1KOYySn
AlternateDataStreams: C:\ProgramData\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp
AlternateDataStreams: C:\ProgramData\Microsoft:74xlGycBNR31f55kVGeNfn
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\life\Cookies:hdDKPW7VeIM6UbOr80tr46x3
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:74xlGycBNR31f55kVGeNfn
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cljfrobpte]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Java Update]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_611C4010BC442835CBF2AAF5D7870725]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\plg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sjgsiyolnk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\URLChanger]
FirewallRules: [{0B94E4F5-8061-4CFB-A128-7734578F0528}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
FirewallRules: [{C673BEBD-FB58-409A-8DE0-3EC0F592B01D}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
FirewallRules: [{5B474E12-9311-4D67-8E5C-598EC9AAE16B}] => (Allow) C:\Users\life\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{9F411D49-B993-4390-8C6E-B1A687E8B65B}] => (Allow) C:\Users\life\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{56E31208-053F-4DF2-90A6-B4CE20A2E6BB}] => (Allow) C:\Users\life\AppData\Local\Temp\is-22S4R.tmp\setup67.tmp
FirewallRules: [{AFE7E9C2-24CA-424F-B13E-2A68DEB50F28}] => (Allow) C:\Users\life\AppData\Local\Temp\is-22S4R.tmp\setup67.tmp
FirewallRules: [{507FF790-A9D3-46E6-A273-4FA1AD754029}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{BDAA0B19-2D61-4AC7-AFAC-AA621A10655C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetServiceStart('Freemake Improver', 4);
DeleteService('Freemake Improver');
TerminateProcessByName('c:\programdata\freemake\freemakeutilsservice\freemakeutilsservice.exe');
QuarantineFile('c:\programdata\freemake\freemakeutilsservice\freemakeutilsservice.exe','');
DeleteFile('c:\programdata\freemake\freemakeutilsservice\freemakeutilsservice.exe','32');
QuarantineFile('c:\ext\updatepl.exe','');
DeleteFile('c:\ext\updatepl.exe','32');
DeleteFileMask('c:\programdata\freemake', '*', true, ' ');
DeleteDirectory('c:\programdata\freemake');
DeleteFileMask('c:\ext', '*', true, ' ');
DeleteDirectory('c:\ext');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Fixlog
Приложите новый лог FRST (Farbar Recovery Scan Tool).
FRST
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\life\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Несколько пальцев - Ярлык.lnk [2015-12-23]
ShortcutTarget: Несколько пальцев - Ярлык.lnk -> (No File)
BootExecute: autocheck autochk *
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3370368720-1918979616-1957759779-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Weatherbar x64 Class -> {B0B85626-F9B4-47C0-9151-FB9A45ABCD37} -> C:\Program Files\tooldev342\Weatherbar\\TracersToolbarBHO_x64.dll => No File
BHO-x32: Kwyshell MidpX -> {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} -> C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll => No File
Toolbar: HKLM-x32 - Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll No File
Toolbar: HKU\S-1-5-21-3370368720-1918979616-1957759779-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin HKU\S-1-5-21-3370368720-1918979616-1957759779-1000: @acestream.net/acestreamplugin,version=3.0.2 -> C:\Users\life\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
2015-12-23 15:15 - 2015-12-23 15:15 - 00000000 ____D C:\Users\Все пользователи\zvKTqsay
2015-12-23 15:15 - 2015-12-23 15:15 - 00000000 ____D C:\ProgramData\zvKTqsay
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\Users\Все пользователи\OKolwkzJ
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\Users\Все пользователи\fHPVTILBFCLiGqM
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\ProgramData\OKolwkzJ
2015-12-23 15:14 - 2015-12-23 15:14 - 00000000 ____D C:\ProgramData\fHPVTILBFCLiGqM
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\Users\Все пользователи\xzUoFDftV
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\Users\Все пользователи\etEhpKsSIBeQVC
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\ProgramData\xzUoFDftV
2015-12-22 19:03 - 2015-12-22 19:03 - 00000000 ____D C:\ProgramData\etEhpKsSIBeQVC
2015-12-22 17:05 - 2015-12-22 17:05 - 00000000 ____D C:\Users\Все пользователи\dtcATmshaYF
2015-12-22 17:05 - 2015-12-22 17:05 - 00000000 ____D C:\ProgramData\dtcATmshaYF
2015-12-22 16:23 - 2015-12-22 16:23 - 00000000 ____D C:\Users\Все пользователи\UwuZngQ
2015-12-22 16:23 - 2015-12-22 16:23 - 00000000 ____D C:\ProgramData\UwuZngQ
2015-12-22 12:23 - 2015-12-22 12:23 - 00000000 ____D C:\Users\Все пользователи\dnNZZWrtOOChhb
2015-12-22 12:23 - 2015-12-22 12:23 - 00000000 ____D C:\ProgramData\dnNZZWrtOOChhb
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\xRsWfjrZQhFcvh
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\OFOCsLt
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\Users\Все пользователи\EOFyyuK
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\xRsWfjrZQhFcvh
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\OFOCsLt
2015-12-22 11:50 - 2015-12-22 11:50 - 00000000 ____D C:\ProgramData\EOFyyuK
2015-12-22 11:49 - 2015-12-23 17:37 - 00000000 ____D C:\Program Files (x86)\Oursoft
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\Users\Все пользователи\lNpWbI
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\Users\Все пользователи\LkcTOt
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\ProgramData\lNpWbI
2015-12-22 18:57 - 2015-10-21 15:40 - 00000000 ____D C:\ProgramData\LkcTOt
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\Users\Все пользователи\V
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\Users\Все пользователи\RYj
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\ProgramData\V
2015-12-22 18:57 - 2015-10-21 11:40 - 00000000 ____D C:\ProgramData\RYj
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\vZouPNUUe
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\tEdVexN
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\Users\Все пользователи\bcgoKLKTPT
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\vZouPNUUe
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\tEdVexN
2015-12-22 18:57 - 2015-10-20 21:45 - 00000000 ____D C:\ProgramData\bcgoKLKTPT
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\Users\Все пользователи\QPpDifLJDJ
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\Users\Все пользователи\NnsVmPIGtJAjDfE
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\ProgramData\QPpDifLJDJ
2015-12-22 18:57 - 2015-10-20 17:45 - 00000000 ____D C:\ProgramData\NnsVmPIGtJAjDfE
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\tf
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\oYWXKhEfdNIM
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\Все пользователи\JJCJdJDl
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\Users\life\AppData\Local\FFFRtNwuy
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\tf
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\oYWXKhEfdNIM
2015-12-22 18:57 - 2015-10-19 21:50 - 00000000 ____D C:\ProgramData\JJCJdJDl
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\Users\Все пользователи\ZsfHaQflgP
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\Users\Все пользователи\VrBtVMvTuEc
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\ProgramData\ZsfHaQflgP
2015-12-22 18:57 - 2015-10-19 16:53 - 00000000 ____D C:\ProgramData\VrBtVMvTuEc
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\Users\Все пользователи\tKRVFgcK
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\Users\Все пользователи\NVPYcxZi
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\ProgramData\tKRVFgcK
2015-12-22 18:57 - 2015-10-18 21:20 - 00000000 ____D C:\ProgramData\NVPYcxZi
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\xCJSyGjA
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\W
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\Users\Все пользователи\JkNwsWjVbbscni
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\xCJSyGjA
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\W
2015-12-22 18:57 - 2015-10-18 14:42 - 00000000 ____D C:\ProgramData\JkNwsWjVbbscni
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\zcnvqAXYUJEuBF
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\TBpUjGcwefi
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\sKMNTtBpscqD
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\Все пользователи\BCMfMYyYWQO
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\Users\life\AppData\Local\Hostinstaller
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\zcnvqAXYUJEuBF
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\TBpUjGcwefi
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\sKMNTtBpscqD
2015-12-22 18:57 - 2015-10-18 14:18 - 00000000 ____D C:\ProgramData\BCMfMYyYWQO
2013-12-08 14:32 - 2013-12-08 14:32 - 0005095 _____ () C:\ProgramData\xpbthzbm.qqq
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Для удаление следующих служб, выполните следующие инструкции:
[CODE]
S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [108032 2015-05-06] (Freemake) [File not signed]
S2 FreemakeVideoCapture; "C:\Program Files (x86)\Freemake\CaptureLib\CaptureLibService.exe" [X]
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetServiceStart('Freemake Improver', 4);
SetServiceStart('FreemakeVideoCapture', 4);
StopService('Freemake Improver');
StopService('FreemakeVideoCapture');
DeleteService('Freemake Improver');
DeleteService('FreemakeVideoCapture');
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
Вот лог-файл...
Проверь существование следующих каталогов:
[CODE]"C:\Users\Все пользователи\zvKTqsay" => not found.
"C:\ProgramData\zvKTqsay" => not found.
"C:\Users\Все пользователи\OKolwkzJ" => not found.
"C:\Users\Все пользователи\fHPVTILBFCLiGqM" => not found.
"C:\ProgramData\OKolwkzJ" => not found.
"C:\ProgramData\fHPVTILBFCLiGqM" => not found.
"C:\Users\Все пользователи\xzUoFDftV" => not found.
"C:\Users\Все пользователи\etEhpKsSIBeQVC" => not found.
"C:\ProgramData\xzUoFDftV" => not found.
"C:\ProgramData\etEhpKsSIBeQVC" => not found.
"C:\Users\Все пользователи\dtcATmshaYF" => not found.
"C:\ProgramData\dtcATmshaYF" => not found.
"C:\Users\Все пользователи\UwuZngQ" => not found.
"C:\ProgramData\UwuZngQ" => not found.
"C:\Users\Все пользователи\dnNZZWrtOOChhb" => not found.
"C:\ProgramData\dnNZZWrtOOChhb" => not found.
"C:\Users\Все пользователи\xRsWfjrZQhFcvh" => not found.
"C:\Users\Все пользователи\OFOCsLt" => not found.
"C:\Users\Все пользователи\EOFyyuK" => not found.
"C:\ProgramData\xRsWfjrZQhFcvh" => not found.
"C:\ProgramData\OFOCsLt" => not found.
"C:\ProgramData\EOFyyuK" => not found.
"C:\Program Files (x86)\Oursoft" => not found.
"C:\Users\Все пользователи\lNpWbI" => not found.
"C:\Users\Все пользователи\LkcTOt" => not found.
"C:\ProgramData\lNpWbI" => not found.
"C:\ProgramData\LkcTOt" => not found.
"C:\Users\Все пользователи\V" => not found.
"C:\Users\Все пользователи\RYj" => not found.
"C:\ProgramData\V" => not found.
"C:\ProgramData\RYj" => not found.
"C:\Users\Все пользователи\vZouPNUUe" => not found.
"C:\Users\Все пользователи\tEdVexN" => not found.
"C:\Users\Все пользователи\bcgoKLKTPT" => not found.
"C:\ProgramData\vZouPNUUe" => not found.
"C:\ProgramData\tEdVexN" => not found.
"C:\ProgramData\bcgoKLKTPT" => not found.
"C:\Users\Все пользователи\QPpDifLJDJ" => not found.
"C:\Users\Все пользователи\NnsVmPIGtJAjDfE" => not found.
"C:\ProgramData\QPpDifLJDJ" => not found.
"C:\ProgramData\NnsVmPIGtJAjDfE" => not found.
"C:\Users\Все пользователи\tf" => not found.
"C:\Users\Все пользователи\oYWXKhEfdNIM" => not found.
"C:\Users\Все пользователи\JJCJdJDl" => not found.
"C:\Users\life\AppData\Local\FFFRtNwuy" => not found.
"C:\ProgramData\tf" => not found.
"C:\ProgramData\oYWXKhEfdNIM" => not found.
"C:\ProgramData\JJCJdJDl" => not found.
"C:\Users\Все пользователи\ZsfHaQflgP" => not found.
"C:\Users\Все пользователи\VrBtVMvTuEc" => not found.
"C:\ProgramData\ZsfHaQflgP" => not found.
"C:\ProgramData\VrBtVMvTuEc" => not found.
"C:\Users\Все пользователи\tKRVFgcK" => not found.
"C:\Users\Все пользователи\NVPYcxZi" => not found.
"C:\ProgramData\tKRVFgcK" => not found.
"C:\ProgramData\NVPYcxZi" => not found.
"C:\Users\Все пользователи\xCJSyGjA" => not found.
"C:\Users\Все пользователи\W" => not found.
"C:\Users\Все пользователи\JkNwsWjVbbscni" => not found.
"C:\ProgramData\xCJSyGjA" => not found.
"C:\ProgramData\W" => not found.
"C:\ProgramData\JkNwsWjVbbscni" => not found.
"C:\Users\Все пользователи\zcnvqAXYUJEuBF" => not found.
"C:\Users\Все пользователи\TBpUjGcwefi" => not found.
"C:\Users\Все пользователи\sKMNTtBpscqD" => not found.
"C:\Users\Все пользователи\BCMfMYyYWQO" => not found.
"C:\Users\life\AppData\Local\Hostinstaller" => not found.
"C:\ProgramData\zcnvqAXYUJEuBF" => not found.
"C:\ProgramData\TBpUjGcwefi" => not found.
"C:\ProgramData\sKMNTtBpscqD" => not found.
"C:\ProgramData\BCMfMYyYWQO" => not found.
"C:\ProgramData\xpbthzbm.qqq" => not found.[/CODE]
И приложите новый лог FRST (Farbar Recovery Scan Tool).
P.S. Перед созданием нового лога FRST предыдущий лог FRST.txt удалите.
А как именно проверить существование следующих каталогов? Куда тот код вписать...?
[QUOTE=Andriy 008;1347357]А как именно проверить существование следующих каталогов? Куда тот код вписать...?[/QUOTE]
1) В проводнике откройте каталог "C:\ProgramData" и просмотрите содержимое, либо в командной строке cmd.exe введите следующую команду:
[CODE]dir /ad "C:\ProgramData"[/CODE]
2)приложите новый лог FRST (Farbar Recovery Scan Tool).
P.S. Перед созданием нового лога FRST предыдущий лог FRST.txt удалите.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]