вирус устанавливает всяческие программы
браузеры всякие устанавливает
китайские браузеры открывает страницы с рекламой и тд
Printable View
вирус устанавливает всяческие программы
браузеры всякие устанавливает
китайские браузеры открывает страницы с рекламой и тд
Уважаемый(ая) [B]Dimash7777[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis из папки Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] в HijackThis (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_BxWU2bjmk_2exWZ31b5msPvzmhk_ovaNkj_ZKRvxZ2-goPDEktYL3ByI8P4ThVSaPq4oLECcXQKBoh97EjS0aYbPWpm60A3hK4EVPsCZ3QibYSAACTOSl-grvUL6pqb9V640gp7kqdpQb6AvFV3JQR17IA9taG8fkpklz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_BxWU2bjmk_2exWZ31b5msPvzmhk_ovaNkj_ZKRvxZ2-goPDEktYL3ByI8P4ThVSaPq4oLECcXQKBoh97EjS0aYbPWpm60A3hK4EVPsCZ3QibYSAACTOSl-grvUL6pqb9V640gp7kqdpQb6AvFV3JQR17IA9taG8fkpklzu-A,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: HKLM\..\UserInit=wscript C:\WINDOWS\run.vbs,
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\7\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim xmlHttp:Dim homePageUrl:Set xmlHttp = CreateObject("MSXML2.XMLHTTP"):xmlHttp.open "GET", "http://bbtbfr.pw/GetHPHost?"&Timer(), False:On Error Resume Next:xmlHttp.send:if xmlHttp.status = 200 then:homePageUrl= xmlHttp.responseText:end if:Dim objFS:Set objFS = CreateObject("Scripting.FileSystemOb(2674 bytes)[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Windows\Temp\gE40.tmp.exe');
TerminateProcessByName('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe');
TerminateProcessByName('c:\users\7\appdata\local\temp\00003763\msiql.exe');
TerminateProcessByName('c:\programdata\service.exe');
TerminateProcessByName('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe');
TerminateProcessByName('c:\program files (x86)\ucbrowser\application\ucbrowser.exe');
TerminateProcessByName('c:\program files (x86)\ucbrowser\application\ucservice.exe');
StopService('GoogleChromeUpService');
StopService('UCBrowserSvc');
StopService('KuaiZipDrive');
StopService('ucdrv');
QuarantineFile('C:\Windows\Temp\gE40.tmp.exe', '');
QuarantineFile('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe', '');
QuarantineFile('c:\users\7\appdata\local\temp\00003763\msiql.exe', '');
QuarantineFile('c:\programdata\service.exe', '');
QuarantineFile('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe', '');
QuarantineFile('c:\program files (x86)\ucbrowser\application\ucbrowser.exe', '');
QuarantineFile('c:\program files (x86)\ucbrowser\application\ucservice.exe', '');
QuarantineFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', '');
QuarantineFile('c:\program files (x86)\plelage\mwpcln.dll', '');
QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys', '');
QuarantineFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', '');
QuarantineFile('\UUC0789.exe', '');
QuarantineFile('C:\Program Files (x86)\xxx\uc.exe', '');
QuarantineFile('C:\ProgramData\Airtostrong\Saojob.dll', '');
QuarantineFile('C:\WINDOWS\winstart.bat', '');
QuarantineFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll', '');
QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', '');
QuarantineFile('C:\ProgramData\3867l31A28c7978\3867l31A28c7978.dll', '');
QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe', '');
QuarantineFile('C:\Users\7\AppData\Roaming\Adobe\Manager.exe', '');
QuarantineFile('C:\Users\7\AppData\Roaming\WindowsUpdater\Updater.exe', '');
QuarantineFile('C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe', '');
QuarantineFile('C:\ProgramData\smp2.exe', '');
QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\Installer\chrmstp.exe', '');
DeleteFile('C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32');
DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdater.job', '64');
DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job', '64');
DeleteFile('C:\Windows\Temp\gE40.tmp.exe', '32');
DeleteFile('C:\Users\7\Favorites\Links\Интернет.url', '32');
DeleteFile('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe', '32');
DeleteFile('c:\users\7\appdata\local\temp\00003763\msiql.exe', '32');
DeleteFile('c:\programdata\service.exe', '32');
DeleteFile('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe', '32');
DeleteFile('c:\program files (x86)\ucbrowser\application\ucbrowser.exe', '32');
DeleteFile('c:\program files (x86)\ucbrowser\application\ucservice.exe', '32');
DeleteFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', '32');
DeleteFile('c:\program files (x86)\plelage\mwpcln.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome_elf.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome_child.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libmp3lame.DLL', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libglesv2.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libegl.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome.dll', '32');
DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys', '32');
DeleteFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', '32');
DeleteFile('\UUC0789.exe', '32');
DeleteFile('C:\Program Files (x86)\xxx\uc.exe', '32');
DeleteFile('C:\ProgramData\Airtostrong\Saojob.dll', '32');
DeleteFile('C:\WINDOWS\winstart.bat', '32');
DeleteFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', '32');
DeleteFile('C:\ProgramData\3867l31A28c7978\3867l31A28c7978.dll', '32');
DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe', '32');
DeleteFile('C:\Users\7\AppData\Roaming\Adobe\Manager.exe', '32');
DeleteFile('C:\Users\7\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe', '32');
DeleteFile('C:\ProgramData\smp2.exe', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\Installer\chrmstp.exe', '32');
DeleteService('GoogleChromeUpService');
DeleteService('UCBrowserSvc');
DeleteService('KuaiZipDrive');
DeleteService('ucdrv');
DeleteFileMask('c:\users\7\appdata\roaming\gplyra', '*', true);
DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true);
DeleteFileMask('c:\program files\їмс№', '*', true);
DeleteFileMask('c:\program files (x86)\plelage', '*', true);
DeleteFileMask('c:\program files (x86)\xxx', '*', true);
DeleteFileMask('c:\programdata\airtostrong', '*', true);
DeleteFileMask('c:\program files (x86)\soiphhehsy client', '*', true);
DeleteFileMask('c:\programdata\3867l31a28c7978', '*', true);
DeleteFileMask('c:\progra~1\6a8c~1', '*', true);
DeleteFileMask('c:\users\7\appdata\roaming\windowsupdater', '*', true);
DeleteDirectory('c:\users\7\appdata\roaming\gplyra');
DeleteDirectory('c:\program files (x86)\ucbrowser');
DeleteDirectory('c:\program files\їмс№');
DeleteDirectory('c:\program files (x86)\plelage');
DeleteDirectory('c:\program files (x86)\xxx');
DeleteDirectory('c:\programdata\airtostrong');
DeleteDirectory('c:\program files (x86)\soiphhehsy client');
DeleteDirectory('c:\programdata\3867l31a28c7978');
DeleteDirectory('c:\progra~1\6a8c~1');
DeleteDirectory('c:\users\7\appdata\roaming\windowsupdater');
ExecuteFile('schtasks.exe', '/delete /TN "3867l31A28c7978" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "KuaiZip_Update" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\WindowsUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SecureUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore" /F', 0, 15000, true);
DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost0');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters', 'ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Liviwardjetit\Parameters', 'ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gplyra');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\7\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"]
>>> "C:\Users\Public\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"]
>>> "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"]
>>> [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> ["C:\Windows\System32\rundll32.exe" =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"]
>>> [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> hxxp://vvv%2dsearching.com/?prd=set_epf&s=h2dztrmbl10bu,8c7f03dd-1a3f-4e77-89a3-907dc6fea706,]
>>> [modified] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [modified] "C:\Users\7\Desktop\разное\Mozilla Firefox.lnk" -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe" =>> hxxp://vvv-searching.com/?prd=set_epc&s=H2Dztrmbl10BU,8c7f03dd-1a3f-4e77-89a3-907dc6fea706,]
- [HTTP][MASK][h][s] "C:\Users\7\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk" -> ["C:\Windows\explorer.exe" =>> "hxxp://opatolo.ru/?utm_source=startlink03&utm_term=776C298C77187EA15A229C16B44F09AA&utm_d=20160208"]
- [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> ["C:\Windows\System32\rundll32.exe" =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"]
>>> [MASK] "C:\Users\7\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico" (32038 байт) (MD5: F45E88EB759D99DBFC282F419BF67C97)[/CODE]
Отчёт о работе прикрепите.
Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]