обнаружена с помощью Kaspersky Security Network в папке C:\Users\Gamer\AppData\Roaming,там прописался windows firewall и внутри runhosts.exe ,который и достает.KFA и DR.web Cureit не решили проблему.
Printable View
обнаружена с помощью Kaspersky Security Network в папке C:\Users\Gamer\AppData\Roaming,там прописался windows firewall и внутри runhosts.exe ,который и достает.KFA и DR.web Cureit не решили проблему.
Уважаемый(ая) [B]vsosch[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\gamer\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe');
TerminateProcessByName('C:\Users\Gamer\AppData\Local\Temp\RarSFX1\CPU.exe');
TerminateProcessByName('c:\users\gamer\appdata\roaming\systemrc\sysservices.exe');
TerminateProcessByName('c:\program files (x86)\system tools 10.0.0\systemtools.exe');
TerminateProcessByName('c:\users\gamer\appdata\roaming\googlesoftware\winlg.exe');
QuarantineFile('c:\users\gamer\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Local\Temp\RarSFX1\CPU.exe', '');
QuarantineFile('c:\users\gamer\appdata\roaming\systemrc\sysservices.exe', '');
QuarantineFile('c:\program files (x86)\system tools 10.0.0\systemtools.exe', '');
QuarantineFile('c:\users\gamer\appdata\roaming\googlesoftware\winlg.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\Systemrc\libmysql.dll', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\Recovery\04\32\33\2\1\3\4\5\6\7\8\9\0\0\Systemrc.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\Mozilla\cmozilla.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\GoogleSoftware\winlgstart.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\Backup.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}\Backup\conserver_at.sfx.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\rec\runhide.exe', '');
QuarantineFile('C:\Users\Gamer\AppData\Roaming\rec\ex.cmd', '');
QuarantineFile('C:\Users\Gamer\Documents\ss32AppData.exe', '');
DeleteFile('c:\users\gamer\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Local\Temp\RarSFX1\CPU.exe', '32');
DeleteFile('c:\users\gamer\appdata\roaming\systemrc\sysservices.exe', '32');
DeleteFile('c:\program files (x86)\system tools 10.0.0\systemtools.exe', '32');
DeleteFile('c:\users\gamer\appdata\roaming\googlesoftware\winlg.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\Systemrc\libmysql.dll', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\Recovery\04\32\33\2\1\3\4\5\6\7\8\9\0\0\Systemrc.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\Mozilla\cmozilla.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\GoogleSoftware\winlgstart.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\Backup.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}\Backup\conserver_at.sfx.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\rec\runhide.exe', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\rec\ex.cmd', '32');
DeleteFile('C:\Users\Gamer\Documents\ss32AppData.exe', '32');
DeleteFile('C:\Users\Gamer\Desktop\Скачать sochinenie-na-temu-po-poslovice-sperva-podumay-a-potom-skazhi.url.url', '32');
DeleteFile('C:\Users\Gamer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
DeleteFileMask('c:\users\gamer\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}', '*', true);
DeleteFileMask('c:\users\gamer\appdata\roaming\systemrc', '*', true);
DeleteFileMask('c:\program files (x86)\system tools 10.0.0', '*', true);
DeleteFileMask('c:\users\gamer\appdata\roaming\googlesoftware', '*', true);
DeleteFileMask('c:\users\gamer\appdata\roaming\recovery', '*', true);
DeleteFileMask('c:\users\gamer\appdata\roaming\rec', '*', true);
DeleteDirectory('c:\users\gamer\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}');
DeleteDirectory('c:\users\gamer\appdata\roaming\systemrc');
DeleteDirectory('c:\program files (x86)\system tools 10.0.0');
DeleteDirectory('c:\users\gamer\appdata\roaming\googlesoftware');
DeleteDirectory('c:\users\gamer\appdata\roaming\recovery');
DeleteDirectory('c:\users\gamer\appdata\roaming\rec');
ExecuteFile('schtasks.exe', '/delete /TN "Adobe Flash Player PPAPI Notifiered" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Adobe Flash Recovery" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Googlesynchronize" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdate_AD" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdate_ED" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Memory\recovery" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Wininet\ex" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Wininet\Systemmanedger" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{0D5F4463-D958-47B3-B5E0-5447E63083AF}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{87194DBB-C177-4A20-95A3-5E5927C99D65}" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemTools');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
автологгер и др
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Проблем больше нет, благодарю за помощь .
Запустите AdwCleaner и нажмите [B]Файл (File) -> Удалить (Uninstall)[/B].
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\system tools 10.0.0\systemtools.exe - [B]not-a-virus:RiskTool.Win32.Agent.aosr[/B][/LIST][/LIST]