[ATTACH=CONFIG]671269[/ATTACH]
Printable View
[ATTACH=CONFIG]671269[/ATTACH]
Уважаемый(ая) [B]АлександрБочкареф[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {3C86BE1C-4EC1-A738-E570-1632EBD9BDF5} - C:\Users\Home\wPTeWAio.exe /q /i http://escoredo.net/pmpdgczcivuw.jti
O22 - Task: {5FA7BA38-CD75-0F21-DE18-9C847B861026} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=j99rxdpl7dzurgl2zt14wzhixj3md9sn&prid=1&pid=5_1301_15162
O22 - Task: {677E7F4B-0346-A1B6-7A51-129EA6F3B283} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=vwza0ixmu9ignbms4iuh5vrgv2x3isy4&prid=1&pid=6_1308_16385
O22 - Task: {7953E319-E9D4-C77F-F6D2-4D4F512DA5B1} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=bk1mkkf05265qaz44vb8vkj9b7qzw2ax&prid=1&pid=6_1308_16385
O22 - Task: {8A621F43-535F-D89F-AD8B-104A41C76BDF} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=fif8dzmkkt2zl83q7sc2zo36ye97f5zk&prid=1&pid=6_1308_16385
O22 - Task: {A994EE23-6323-4073-6DD8-873C63CC3044} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=ovc4bq6n48s3484ldgdhhu29tk9026kh&prid=1&pid=5_1301_22938
O22 - Task: {AA94825F-EC30-C701-1201-97389DC9FA2C} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=3xpij6f5xupjc8o6yyjhovgzia3aubgo&prid=1&pid=5_1301_15162
O22 - Task: {D27EAA36-601D-4C9B-4AD4-D17419B73B6A} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=iyn4owzedr12elhyl5rt1lo523d3m78v&prid=1&pid=6_1308_16385
O22 - Task: {E5E0FF2D-419A-0519-6715-B12856AC657D} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=s5lxvwkn7adpk6innr1pp6z8atvhk5g3&prid=1&pid=6_1308_16385
O22 - Task: {E8F625A2-5BF6-93B3-FE4D-646E5B908DFF} - C:\Users\Home\AppData\Roaming\hbOitUyUN.exe /q /i http://escoredo.net/2le1qo5n2pvf.yew
O22 - Task: {EF58D8E1-954C-DFEF-DD86-DE26D03BC2F1} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=7wspi8o5bxnu1x7a0f7mvzto9kyjftjc&prid=1&pid=5_1301_25059
O22 - Task: {F04C2C90-5835-255C-5003-91B43547109E} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=qbsl1o75b1ormjn48m2x4us1kei0mw53&prid=1&pid=6_1308_16385
O22 - Task: {F5FDF125-0C29-5900-8212-D99D8CCA99F4} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=zx03js5qschash497ogml2ves5uwvq7l&prid=1&pid=6_1308_16385
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('hjlcibgjbhdcbbdifiiijedfbfkml');
DeleteService('hjlcibgjbhdcbbdifiiijedfbfkml');
QuarantineFile('C:\Users\Home\AppData\Roaming\hbOitUyUN.exe','');
QuarantineFile('C:\Users\Home\wPTeWAio.exe','');
QuarantineFile('C:\Windows\System32\assignedaccessmanagersvc.dll','');
QuarantineFile('C:\Users\Home\AppData\Local\Temp\hjlcibgjbhdcbbdifiiijedfbfkml.sys','');
DeleteFile('C:\Users\Home\AppData\Local\Temp\hjlcibgjbhdcbbdifiiijedfbfkml.sys','32');
ExecuteFile('schtasks.exe', '/delete /TN "{1C80C2C0-5017-C4DF-67FD-8CA715220B32}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{3C86BE1C-4EC1-A738-E570-1632EBD9BDF5}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{677E7F4B-0346-A1B6-7A51-129EA6F3B283}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{7953E319-E9D4-C77F-F6D2-4D4F512DA5B1}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{8A621F43-535F-D89F-AD8B-104A41C76BDF}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{8A621F43-535F-D89F-AD8B-104A41C76BDF}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{A994EE23-6323-4073-6DD8-873C63CC3044}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{AA94825F-EC30-C701-1201-97389DC9FA2C}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{D27EAA36-601D-4C9B-4AD4-D17419B73B6A}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{E5E0FF2D-419A-0519-6715-B12856AC657D}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{E8F625A2-5BF6-93B3-FE4D-646E5B908DFF}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{EF58D8E1-954C-DFEF-DD86-DE26D03BC2F1}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{F04C2C90-5835-255C-5003-91B43547109E}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{F5FDF125-0C29-5900-8212-D99D8CCA99F4}" /F', 0, 15000, true);
DeleteFile('C:\Users\Home\wPTeWAio.exe','32');
DeleteFile('C:\Users\Home\AppData\Roaming\hbOitUyUN.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Готово.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
прикрепил
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\DRIVERS\ASACPI.sys
File: C:\Windows\SysWOW64\Drivers\vdexmtk3.sys
Folder: C:\ProgramData\Flash
File: C:\Windows\system32\Drivers\lpsport.sys
Folder: C:\82ace7d6-0197-474d-bf4b-a2043e72329b
Folder: C:\Windows\system32\DAX3
Folder: C:\Windows\system32\DAX2
Folder: C:\Program Files\WinRAR1
File: C:\Program Files (x86)\eytqSAYACa.exe
File: C:\Program Files (x86)\IelPiHgDOpBo.exe
File: C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe
File: C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe
Task: {C205D259-194E-4FEF-B6BD-137DFA78F4A4} - System32\Tasks\AdobeUpdate => C:\Users\Home\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
Zip: C:\Program Files (x86)\eytqSAYACa.exe;C:\Program Files (x86)\IelPiHgDOpBo.exe;C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe;C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe;C:\Users\Home\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe;C:\Users\Home\wPTeWAio.exe
AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
FirewallRules: [{7793E0C6-A4F9-4D5D-B1EB-F7544D15966B}] => (Allow) C:\Users\Home\wPTeWAio.exe
FirewallRules: [{3AF4C0D8-1854-4B8C-B81F-9CFCC06DE45E}] => (Allow) C:\Users\Home\AppData\Roaming\hbOitUyUN.exe
FirewallRules: [{531DF8BD-8FA7-404E-A05B-DB1F56128122}] => (Allow) C:\Windows\SysWOW64\EjHyEXsl.exe
FirewallRules: [{711B4478-6DA3-44BF-8AD4-67FECB43FF0D}] => (Allow) C:\Windows\aUkwCevm.exe
FirewallRules: [{A1D18929-B5A8-4377-987B-744669137027}] => (Allow) C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe
FirewallRules: [{287DAD0C-5078-43D8-8FB9-94F3F75582C7}] => (Allow) C:\Program Files (x86)\eytqSAYACa.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин, загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Готово.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Пока все нормально,страницы не открываются.Спасибо.
Знакома ли Вам?
[CODE]
C:\Program Files (x86)\eytqSAYACa.exe
C:\Program Files (x86)\IelPiHgDOpBo.exe
C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe
[/CODE]
Нет,не знаю что это.Удалять надо?
В указанных файлов угрозы незамечено, однако их расположение и название настораживает. Если Вы уверены, что они не используются легально у Вас на ПК, то выполните следующее:
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\eytqSAYACa.exe
C:\Program Files (x86)\IelPiHgDOpBo.exe
C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe
C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\home\appdata\local\temp\hjlcibgjbhdcbbdifiiijedfbfkml.sys - [B]UDS:DangerousObject.Multi.Generic[/B][/LIST][/LIST]