раньше я орошался и излечил вирус в сервисе но сейчас он появился
раньше я орошался и излечил вирус в сервисе но сейчас он появился
Уважаемый(ая) [B]Руся Петрунин[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Удалите Pbot через установку программ в панели упраления.
HiJackThis (из каталога автологера) [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rigneda.ru/?utm_source=startpage03&utm_content=17932093119668bc1771ad2792b5a42b&utm_term=700DBE012CA4D1D9D375FE1449DCD99E&utm_d=20161107
O4 - HKCU\..\Run: [PBot] "C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Aren\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [csrss.exe] C:\Users\Aren\Documents\MSDCSC\msdcsc.exe
O4 - HKCU\..\Run: [qfugeqccyb] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=700DBE012CA4D1D9D375FE1449DCD99E&utm_d=20161107"
O4 - HKCU\..\RunOnce: [bgaqoikmnv] "C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe"
O4 - HKCU\..\RunOnce: [ejhdlooofd] "C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe"
O4 - HKCU\..\RunOnce: [hhqgkoouxc] "C:\Users\Aren\AppData\Local\temp\D7qHswpYLQWO.exe"
O4 - HKCU\..\RunOnce: [speeddialmaker_delete_self] "C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE" --selfdelete
O4 - HKCU\..\RunOnce: [tehfqzhkzh] "C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe"
O4 - MSConfig\startupreg: [PBot] "C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Aren\AppData\Roaming\PBot\launchall.py" (2016/12/05)
O4 - MSConfig\startupreg: [Zaxar] "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent (2016/12/05)
O9 - Extra button: (no name) - Cmdmapping - (no file)
O22 - ScheduledTask: (Ready) ComDev - {root} - C:\Users\Aren\AppData\Local\ComDev\ComDev.exe --stid="10899"
O22 - ScheduledTask: (Ready) InternetB - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://bhd4.xyz/searchm
O22 - ScheduledTask: (Ready) InternetBE - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://inform-world.ru/watchm
O22 - ScheduledTask: (Ready) InternetC - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://intenetloading.com/capcum
O22 - ScheduledTask: (Ready) InternetD - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://intenetloading.xyz/pinem
O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe app.py
O22 - ScheduledTask: (Ready) SearchGo Task - {root} - C:\Users\Aren\AppData\Local\SearchGo\searchgo.exe
O22 - ScheduledTask: (Ready) Update Service for VK OK AdBlock - {root} - C:\Program Files\VK OK AdBlock\v6KjaJA.exe
O22 - ScheduledTask: (Ready) Update Service for VK OK AdBlock2 - {root} - C:\Program Files\VK OK AdBlock\v6KjaJA.exe
O22 - ScheduledTask: (Ready) Update Service for Youtube AdBlock - {root} - C:\Program Files\Youtube AdBlock\ASe4HjD.exe
O22 - ScheduledTask: (Ready) Update Service for Youtube AdBlock2 - {root} - C:\Program Files\Youtube AdBlock\ASe4HjD.exe
O22 - ScheduledTask: (Ready) VCore - \Microsoft\Windows\Media Center - C:\ProgramData\vCore\VCore.exe -check
O22 - ScheduledTask: (Ready) fupdate - {root} - C:\Users\Aren\AppData\Local\fupdate\fupdate.exe
O22 - ScheduledTask: (Ready) svshost - {root} - C:\Users\Aren\AppData\Local\svshost\svshost.exe --stid="10899" (file missing)
[/CODE]
Удалите ярлыки:
[CODE]
"C:\Users\Aren\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (3).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (6).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (7).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (8).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (9).lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk"
"C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет.lnk"
"C:\Users\Aren\Desktop\Вoйти в Интeрнет.lnk"
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}');
DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
TerminateProcessByName('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe');
TerminateProcessByName('c:\program files\youtube adblock\ieef\ik6nctp.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe');
TerminateProcessByName('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe');
QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\cUETWc0I.dll','');
QuarantineFile('C:\Program Files\VK OK AdBlock\v6KjaJA.exe','');
QuarantineFile('C:\Program Files\Youtube AdBlock\ASe4HjD.exe','');
QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\dtC1g7.dll','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\ComDev\ComDev.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\fupdate\fupdate.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE','');
QuarantineFile('C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe','');
QuarantineFile('C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe','');
QuarantineFile('C:\Users\Aren\AppData\Roaming\PBot\launchall.py','');
QuarantineFile('C:\Users\Aren\Documents\MSDCSC\msdcsc.exe','');
QuarantineFile('C:\Users\Aren\appdata\local\comdev\comdev.exe','');
QuarantineFile('C:\Users\Aren\appdata\local\fupdate\fupdate.exe','');
QuarantineFile('C:\Users\Aren\appdata\local\searchgo\searchgo.exe','');
QuarantineFile('C:\Windows\svchost.com','');
QuarantineFile('c:\program files\microsoft\desktoplayer.exe','');
QuarantineFile('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe','');
QuarantineFile('c:\program files\youtube adblock\ieef\ik6nctp.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe','');
QuarantineFile('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe','');
QuarantineFile('c:\windows\svchost.com','');
DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\cUETWc0I.dll','32');
DeleteFile('C:\Program Files\VK OK AdBlock\v6KjaJA.exe','32');
DeleteFile('C:\Program Files\Youtube AdBlock\ASe4HjD.exe','32');
DeleteFile('C:\Program Files\Youtube AdBlock\IEEF\dtC1g7.dll','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\fupdate\fupdate.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\svshost\svshost.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\temp\D7qHswpYLQWO.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE','32');
DeleteFile('C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe','32');
DeleteFile('C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe','32');
DeleteFile('C:\Users\Aren\AppData\Roaming\PBot\launchall.py','32');
DeleteFile('C:\Users\Aren\Documents\MSDCSC\msdcsc.exe','32');
DeleteFile('C:\Users\Aren\appdata\local\comdev\comdev.exe','32');
DeleteFile('C:\Users\Aren\appdata\local\fupdate\fupdate.exe','32');
DeleteFile('C:\Users\Aren\appdata\local\searchgo\searchgo.exe','32');
DeleteFile('C:\Users\Aren\documents\msdcsc\msdcsc.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock2.job','32');
DeleteFile('C:\Windows\svchost.com','32');
ExecuteFile('schtasks.exe', '/delete /TN "ComDev" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
DeleteFile('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe','32');
DeleteFile('c:\program files\youtube adblock\ieef\ik6nctp.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe','32');
DeleteFile('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe','32');
DeleteFile('c:\windows\svchost.com','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','csrss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qfugeqccyb');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','bgaqoikmnv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ejhdlooofd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hhqgkoouxc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tehfqzhkzh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PBot','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
ЛОг держите
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
На Вашем ПК обнаружен файловый вирус, проверьте Ваш ПК утилитой [URL="http://www.kaspersky.ru/antivirus-removal-tool"]Kaspersky Virus Removal Tool[/URL].
косперский не помогает
[QUOTE=Руся Петрунин;1420579]косперский не помогает[/QUOTE]
Всмысле ничего не находит?
он ничего не испровляет
[URL="http://virusinfo.info/showthread.php?t=15927"][B]Как лечить файловый вирус[/B][/URL] вариант с Live CD предпочтительнее.
ВОЗМОЖНОСТИ НЕТУ
[quote="Руся Петрунин;1420792"]ВОЗМОЖНОСТИ НЕТУ[/quote]
Что не так ?
на диск нету возможности записать
На флешку запишите.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
P.S. загрузочный CD диск или флешка должны записываться на здоровом не заражённом компьютере, иначе существует вероятность что во время записи он(а) тоже заразиться. Флешка или диск обязательно должны быть загрузочными, иметь возможность загружаться в своей собственном интерфейсе до загрузки Windows.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]71[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\aren\appdata\local\comdev\comdev.exe - [B]Trojan-Downloader.Win32.AdLoad.njep[/B][*] c:\users\aren\appdata\local\fupdate\fupdate.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\searchgo\searchgo.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A, AVAST4: Win32:Apanas [Trj] )[*] c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\tsxouu~1.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\4t322lovkwxf.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\users\aren\appdata\local\temp\4y7mqom1591e.exe - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[*] c:\windows\svchost.com - [B]Virus.Win32.Neshta.a[/B] ( BitDefender: Win32.Neshta.A )[/LIST][/LIST]