При перезагрузке системы самостоятельно устанавливаются два расширения в Chrome: costbar и wikisearch. Если эти расширения включены, то любой запрос в поисковик перекидывается в go.mail.ru.
Система 64-разрядная, поэтому прикрепляю два лога.
Printable View
При перезагрузке системы самостоятельно устанавливаются два расширения в Chrome: costbar и wikisearch. Если эти расширения включены, то любой запрос в поисковик перекидывается в go.mail.ru.
Система 64-разрядная, поэтому прикрепляю два лога.
Уважаемый(ая) [B]bendero2008[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Илья\AppData\Local\Hostinstaller\4008300154_installcube.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\FreeVPN\FreeVPN.exe','');
QuarantineFile('C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe','');
QuarantineFile('C:\Program Files (x86)\Atagary\Atgverfier.dll','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\6B67773331_1037\nwZmN0oLIw.exe','');
QuarantineFile('c:\programdata\msiql.exe','');
QuarantineFile('C:\ProgramData\WindowsMsg\675D131108D4FD145B0BFBC68A3E018A.dll','');
QuarantineFile('C:\TEMP\22.exe','');
DeleteService('QMUdisk');
DeleteService('softaal');
DeleteService('SRepairDrv');
DeleteService('TsDefenseBt');
DeleteService('tsnethlpx64');
DeleteService('TSSKX64');
DeleteService('sulpnar');
DeleteService('Ronzap');
DeleteService('QQRepairFixSVC');
DeleteService('QQRepair248c');
DeleteService('QQPCRTP');
QuarantineFile('C:\ProgramData\Ronzap\Ronzap.exe','');
QuarantineFile('C:\ProgramData\sulpnar\sulpnar.exe','');
DeleteService('LiveUpdateSvc');
DeleteService('GoogleChromeUpService');
QuarantineFile('C:\ProgramData\service.exe','');
DeleteService('CloudPrinter');
DeleteService('ddwnlzad');
DeleteService('Drvcoresrv');
QuarantineFile('C:\Program Files (x86)\Dravsynlether\Drvcoresrv.exe','');
QuarantineFile('C:\Users\Илья\AppData\Local\Suncity.exe','');
QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','');
DeleteService('BugreportW');
QuarantineFile('C:\Program Files (x86)\hohobnd\reekge.exe','');
DeleteService('AppVerifier');
QuarantineFile('C:\ProgramData\Appverifier\AppVerifierService.exe','');
SetServiceStart('WeatherChiknSrvr', 4);
DeleteService('WeatherChiknSrvr');
TerminateProcessByName('c:\users\Илья\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe');
QuarantineFile('c:\users\Илья\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','');
TerminateProcessByName('c:\program files (x86)\weatherchickn\weatherchickn.exe');
QuarantineFile('c:\program files (x86)\weatherchickn\weatherchickn.exe','');
DeleteFile('c:\program files (x86)\weatherchickn\weatherchickn.exe','32');
DeleteFile('c:\users\Илья\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
DeleteFile('C:\ProgramData\Appverifier\AppVerifierService.exe','32');
DeleteFile('C:\Program Files (x86)\hohobnd\reekge.exe','32');
DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
DeleteFile('C:\Users\Илья\AppData\Local\Suncity.exe','32');
DeleteFile('C:\Program Files (x86)\Dravsynlether\Drvcoresrv.exe','32');
DeleteFile('C:\ProgramData\service.exe','32');
DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRtp.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair248c','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC','32');
DeleteFile('C:\ProgramData\Ronzap\Ronzap.exe','32');
DeleteFile('C:\ProgramData\sulpnar\sulpnar.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsDefenseBT64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','32');
DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','22');
DeleteFile('C:\TEMP\22.exe','32');
DeleteFile('C:\ProgramData\WindowsMsg\675D131108D4FD145B0BFBC68A3E018A.dll','32');
DeleteFile('c:\programdata\msiql.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','taskhost');
DeleteFile('C:\Users\Илья\AppData\Roaming\6B67773331_1037\nwZmN0oLIw.exe','32');
DeleteFile('C:\Windows\Tasks\6B67773331_1037.job','32');
DeleteFile('C:\Windows\system32\Tasks\6B67773331_1037','64');
DeleteFile('C:\Program Files (x86)\Atagary\Atgverfier.dll','32');
DeleteFile('C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Dravsynlether Core','64');
DeleteFile('C:\Windows\system32\Tasks\Atagary Verfier','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
DeleteFile('C:\Users\Илья\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
DeleteFile('C:\Users\Илья\AppData\Local\Hostinstaller\4008300154_installcube.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Извините, что так долго. Сессия началась.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\илья\appdata\local\suncity.exe - [B]Trojan-Downloader.MSIL.Agent.alic[/B] ( BitDefender: Gen:Variant.MSIL.Lynx.18, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]