Здравствуйте! Помогите пожалуйста удалить следы вируса "захар".
Здравствуйте! Помогите пожалуйста удалить следы вируса "захар".
Уважаемый(ая) [B]pipendrusu[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\ProgramData\TaskbarWindows\enplus.exe', '');
QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe', '');
QuarantineFile('C:\Users\raymond\AppData\Local\iKywe.exe', '');
QuarantineFile('C:\Users\raymond\AppData\Roaming\QOEJq.exe', '');
QuarantineFile('C:\Windows\SYSWOW64\conhost64.exe', '');
QuarantineFile('C:\Windows\TADSUINS.EXE', '');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\ProgramData\TaskbarWindows\enplus.exe', '32');
DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe', '32');
DeleteFile('C:\Users\raymond\AppData\Local\iKywe.exe', '32');
DeleteFile('C:\Users\raymond\AppData\Roaming\QOEJq.exe', '32');
DeleteFile('C:\Windows\SYSWOW64\conhost64.exe');
DeleteFile('C:\Windows\TADSUINS.EXE');
ExecuteFile('schtasks.exe', '/delete /TN "{31C9AE72-50AC-EB80-7778-EB47D8981581}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{5265D977-A24E-1B79-34C7-D9588317B9B4}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\QuickLaunch" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Starter" /F', 0, 15000, true);
DeleteService('Starter Check');
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteFileMask('c:\programdata\taskbarwindows', '*', true);
DeleteDirectory('c:\program files (x86)\zaxar');
DeleteDirectory('c:\programdata\taskbarwindows');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
FRST логи.
AVZ удалось запустить только в безопасном режиме, выключалась программа даже при переименовывании файла запуска (avz.exe). Карантин прислал тоже.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-1810130350-314517609-2942759641-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811021
HKU\S-1-5-21-1810130350-314517609-2942759641-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
SearchScopes: HKU\S-1-5-21-1810130350-314517609-2942759641-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BEC99B05B-9271-497B-8AD3-38418B51AC36%7D&gp=811022
SearchScopes: HKU\S-1-5-21-1810130350-314517609-2942759641-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BEC99B05B-9271-497B-8AD3-38418B51AC36%7D&gp=811022
ZIP: C:\Windows\Minidump\041818-20953-01.dmp
2018-04-18 18:09 - 2018-04-18 18:07 - 002625898 _____ C:\Users\raymond\Desktop\quarantine.zip
2018-04-18 18:06 - 2018-04-18 18:06 - 000284336 _____ C:\Windows\Minidump\041818-20953-01.dmp
2018-04-16 19:09 - 2018-04-16 19:09 - 000284176 _____ C:\Windows\Minidump\041618-29328-01.dmp
VirusTotal: C:\Windows\SysWOW64\TCHAR_x64.int
2018-04-12 18:14 - 2018-04-18 18:06 - 325110676 _____ C:\Windows\MEMORY.DMP
2018-04-12 18:14 - 2018-04-18 18:06 - 000000000 ____D C:\Windows\Minidump
2018-04-12 18:14 - 2018-04-12 18:14 - 000284336 _____ C:\Windows\Minidump\041218-20921-01.dmp
CMD: type C:\ProgramData\check.txt
VirusTotal: C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe
30598-05-30 11:27 - 30598-05-30 11:27 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe
2018-04-09 22:41 - 2018-04-09 22:41 - 000554496 _____ () C:\Users\raymond\AppData\Local\Temp\Converter.exe
2018-04-09 22:42 - 2018-04-09 22:42 - 002170880 _____ () C:\Users\raymond\AppData\Local\Temp\installer_mi.exe
2018-03-30 11:00 - 2018-03-30 11:00 - 001864256 _____ (Oracle Corporation) C:\Users\raymond\AppData\Local\Temp\jre-8u161-windows-au.exe
2018-04-09 22:42 - 2018-04-09 22:42 - 002311864 _____ () C:\Users\raymond\AppData\Local\Temp\mailruhomesearch.exe
2018-04-09 22:42 - 2018-04-09 22:42 - 017011526 _____ (VSUISOFTE ) C:\Users\raymond\AppData\Local\Temp\setup.exe
2018-04-09 22:41 - 2018-04-09 22:41 - 013210162 _____ (Google Inc.) C:\Users\raymond\AppData\Local\Temp\tulbar.exe
2018-04-09 22:42 - 2018-04-09 22:42 - 000259592 _____ () C:\Users\raymond\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe
Task: {32FF58C4-515C-43B4-84C3-88630CAEBAFC} - System32\Tasks\Microsoft\Windows\Starter => C:\ProgramData\TaskbarWindows\winstar.exe
Task: {4C3F8E0A-7BFC-4F82-9F3E-9C3AB40D25D5} - System32\Tasks\{31C9AE72-50AC-EB80-7778-EB47D8981581} => C:\Users\raymond\AppData\Local\iKywe.exe
Task: {C7E085E4-B6F1-42D4-8B1C-A45D890A84DD} - System32\Tasks\{5265D977-A24E-1B79-34C7-D9588317B9B4} => C:\Users\raymond\AppData\Roaming\QOEJq.exe <==== ATTENTION
Task: {D21CE716-713D-4648-8004-F2C311563DBD} - System32\Tasks\Microsoft\QuickLaunch => C:\ProgramData\TaskbarWindows\winstar.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, прикрепите его к сообщению.
Сообщите, что с проблемой.
пока проблем нет, спасибо.
Создайте такой fixlist.txt в папке с FRST:[CODE]C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe
C:\Windows\SysWOW64\TCHAR_x64.int
CMD: md C:\Windows\Minidump[/CODE] и в FRST нажмите один раз Fix (без перезагрузки). Новый Fixlog.txt прикрепите.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
логи
[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color][/QUOTE]Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.
Устанавливайте:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color][/QUOTE]Хотфикс KB4012212 закрывает опаснейшую уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры.
Это тоже нужно обновить:[QUOTE]-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^[/b][/color]
Java 8 Update 161 v.8.0.1610.12 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^[/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.186 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 24 NPAPI v.24.0.0.186 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 24 PPAPI v.24.0.0.186 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Opera Stable 52.0.2871.40 v.52.0.2871.40 [color=red][b]Внимание! [url=http://www.opera.com/computer]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color][/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\syswow64\conhost64.exe - [B]HEUR:HackTool.Win64.Phider.gen[/B][/LIST][/LIST]