Здравствуйте, помогите удалить зловреда из системы.
Printable View
Здравствуйте, помогите удалить зловреда из системы.
Уважаемый(ая) [B]Василий Леонов[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\CryTek\AppData\Local\Beach Plugin\{B9E386B3-B83A-8D54-4E36-8E18038673D4}\jdqgh.dll','');
QuarantineFile('C:\Users\CryTek\AppData\Local\Beach Plugin\{B9E386B3-B83A-8D54-4E36-8E18038673D4}\BeachPlugin.dll','');
DeleteFile('C:\Users\CryTek\AppData\Local\Beach Plugin\{B9E386B3-B83A-8D54-4E36-8E18038673D4}\BeachPlugin.dll','32');
DeleteFile('C:\Users\CryTek\AppData\Local\Beach Plugin\{B9E386B3-B83A-8D54-4E36-8E18038673D4}\jdqgh.dll','32');
DeleteFile('C:\Windows\system32\Tasks\Beach Plugin2','64');
DeleteFile('C:\Windows\system32\Tasks\Beach Plugin','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]
При отправке запрошенного карантина выдается ошибка, что файл уже загружен.
Поэтому карантин прикрепляю вместе с новыми логами.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Готово, архив приложен.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4253391887-1472286766-1188021791-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> No File
BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\IPS\IPSBHO.DLL => No File
FF Extension: No Name - C:\Users\CryTek\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
CHR Extension: (Script counter) - C:\Users\CryTek\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjgpmeoldcchbfbojmmimhgmlmbbdhaj [2016-07-05]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
S3 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2016-06-15 19:12 - 2016-06-15 19:12 - 00000000 ____D C:\Users\CryTek\AppData\Local\Вoйти в Интeрнет
2016-06-15 19:09 - 2016-07-05 15:24 - 00000000 ____D C:\Users\CryTek\AppData\Local\FileSystemDriver
2016-06-15 19:07 - 2016-06-15 19:07 - 00000000 ____D C:\Users\CryTek\AppData\Local\Поиcк в Интeрнете
Task: {3334ACF9-744E-4A09-92BD-C876EBF5B9B0} - \Microsoft\Windows\Google\GoogleUpdateTaskMachine -> No File <==== ATTENTION
Task: {412671F3-A44A-4F08-A486-775BED3A533E} - \Uninstaller_SkipUac_CryTek -> No File <==== ATTENTION
Task: {8A66ECDF-A316-4D48-B6D0-1815F440D4DD} - \Beach Plugin -> No File <==== ATTENTION
Task: {A1D4E64E-B713-46E3-9A17-8F1B6596DD51} - \Beach Plugin2 -> No File <==== ATTENTION
C:\Users\CryTek\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Действия выполнены. Зловред пропал.
На этом все