Здравствуйте! Прошу помочь вылечить компьютер. Открываются браузеры, все мелькает, это сообщение удалось написать только в Опере
Здравствуйте! Прошу помочь вылечить компьютер. Открываются браузеры, все мелькает, это сообщение удалось написать только в Опере
Уважаемый(ая) [B]ИванДенье[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190114
O2 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\tP3uD3D.dll (file missing)
O4 - HKCU\..\Run: [1004438] = C:\Users\Admin\AppData\Roaming\xbeeo4wgl3p\yctsrbil3lx.exe /VERYSILENT (file missing)
O4 - HKCU\..\Run: [1317909] = C:\Users\Admin\AppData\Roaming\vabpbz5hhpu\gehghi2w1sx.exe /VERYSILENT (file missing)
O4 - HKCU\..\Run: [1865984] = C:\Users\Admin\AppData\Roaming\aair015ltom\il2b0qsox5l.exe /VERYSILENT
O4 - HKCU\..\Run: [2656467] = C:\Users\Admin\AppData\Roaming\hwh5af0ookc\0bpzhrv02un.exe /VERYSILENT
O4 - HKCU\..\Run: [5915919] = C:\Users\Admin\AppData\Roaming\dujoo5byrau\qn1nl1b2nz0.exe /VERYSILENT
O4 - HKCU\..\Run: [6919731] = C:\Users\Admin\AppData\Roaming\dpi0l4zwipe\kmm2oi5srg3.exe /VERYSILENT
O4 - HKCU\..\Run: [7048944] = C:\Users\Admin\AppData\Roaming\ndoks0cfwm4\2f3jpziv1so.exe /VERYSILENT
O4 - HKCU\..\Run: [8013800] = C:\Users\Admin\AppData\Roaming\wrekuuatnkc\4k11xiy504w.exe /VERYSILENT (file missing)
O4 - HKCU\..\Run: [9062783] = C:\Users\Admin\AppData\Roaming\0mkx45u1fgk\c2nv0joex3g.exe /VERYSILENT
O4 - HKCU\..\Run: [9453612] = C:\Users\Admin\AppData\Roaming\cacwmxc0jvy\hj5cxso4lwu.exe /VERYSILENT
O4 - HKCU\..\Run: [9JQISR30MSFA7XM] = C:\Program Files\NH0UF4C8GJ\NH0UF4C8G.exe
O4 - HKCU\..\Run: [9T855SZUAMXZVVI] = C:\Program Files\VS8CPSY62Q\VS8CPSY62.exe
O4 - HKCU\..\Run: [C0SEOIS90UCATJJ] = C:\Program Files\HQBTI0A1ZD\HQBTI0A1Z.exe
O4 - HKCU\..\Run: [CA0FFVSCLH083UW] = C:\Program Files\TDH5BORWHX\TDH5BORWH.exe
O4 - HKCU\..\Run: [DRJU78UIT73PW7E] = C:\Program Files\9HUHAXZ0YH\9HUHAXZ0Y.exe
O4 - HKCU\..\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
O4 - HKCU\..\Run: [utweb] = C:\Users\Admin\AppData\Roaming\uTorrent Web\utweb.exe /MINIMIZED
O4 - HKCU\..\StartupApproved\Run: [15FH4U38GMK4UN0] = C:\Program Files\D2V3ZG75SK\D2V3ZG75S.exe (2019/01/14)
O4 - HKCU\..\StartupApproved\Run: [JPD3SYCGAR1GBGA] = C:\Program Files\REDRD40G21\REDRD40G2.exe (2019/01/14)
O4 - HKCU\..\StartupApproved\Run: [KBYC1QLJ20QWW7D] = C:\Program Files\6AYJLQKVU4\6AYJLQKVU.exe (2019/01/14)
O4 - HKCU\..\StartupApproved\Run: [ML67QARTA83U0EX] = C:\Program Files\NRIM9GIAQ7\NRIM9GIAQ.exe (2019/01/14)
O4 - HKCU\..\StartupApproved\Run: [Upfff#m_ae.exe] = C:\Program Files\Windows Photo Viewer\MGGHBKCEGYV0XKVZLBVH1T7S\Upfff#m_ae.exe (file missing) (2019/01/14)
O4 - HKLM\..\RunOnce: [OMEWPRODUCT_S806N] = C:\Program Files (x86)\fjlqotqhgof\5KXP8YQK67XEBVW.exe
O22 - Task: SOVqgpLsuXhFCxp2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\weeUeJ.dll",#1
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Program Files\VS8CPSY62Q\VS8CPSY62.exe');
TerminateProcessByName('c:\users\admin\appdata\roaming\utorrent web\utweb.exe');
TerminateProcessByName('C:\Program Files\TDH5BORWHX\TDH5BORWH.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-m3gso.tmp\qn1nl1b2nz0.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\dujoo5byrau\qn1nl1b2nz0.exe');
TerminateProcessByName('C:\Program Files\NH0UF4C8GJ\NH0UF4C8G.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-nbi3q.tmp\kmm2oi5srg3.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\dpi0l4zwipe\kmm2oi5srg3.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-pth58.tmp\il2b0qsox5l.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\aair015ltom\il2b0qsox5l.exe');
TerminateProcessByName('C:\Program Files\HQBTI0A1ZD\HQBTI0A1Z.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-q80i4.tmp\hj5cxso4lwu.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\cacwmxc0jvy\hj5cxso4lwu.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-ujs5d.tmp\c2nv0joex3g.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\0mkx45u1fgk\c2nv0joex3g.exe');
TerminateProcessByName('C:\Program Files\9HUHAXZ0YH\9HUHAXZ0Y.exe');
TerminateProcessByName('C:\Program Files (x86)\fjlqotqhgof\5KXP8YQK67XEBVW.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-37tgc.tmp\2f3jpziv1so.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\ndoks0cfwm4\2f3jpziv1so.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\is-5b76c.tmp\0bpzhrv02un.tmp');
TerminateProcessByName('c:\users\admin\appdata\roaming\hwh5af0ookc\0bpzhrv02un.exe');
QuarantineFile('C:\Program Files\VS8CPSY62Q\VS8CPSY62.exe','');
QuarantineFile('C:\Program Files (x86)\StartIsBack\startscreen.exe','');
QuarantineFile('C:\Program Files (x86)\fHDlqDVwU\weeUeJ.dll','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\cacwmxc0jvy\hj5cxso4lwu.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\ndoks0cfwm4\2f3jpziv1so.exe','');
QuarantineFile('C:\Program Files\D2V3ZG75SK\D2V3ZG75S.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\xbeeo4wgl3p\yctsrbil3lx.exe','');
QuarantineFile('C:\Program Files\REDRD40G21\REDRD40G2.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\vabpbz5hhpu\gehghi2w1sx.exe','');
QuarantineFile('C:\Program Files\NRIM9GIAQ7\NRIM9GIAQ.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\wrekuuatnkc\4k11xiy504w.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\dujoo5byrau\qn1nl1b2nz0.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\aair015ltom\il2b0qsox5l.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\dpi0l4zwipe\kmm2oi5srg3.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\0mkx45u1fgk\c2nv0joex3g.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\hwh5af0ookc\0bpzhrv02un.exe','');
QuarantineFile('C:\Program Files\Windows Photo Viewer\MGGHBKCEGYV0XKVZLBVH1T7S\Upfff#m_ae.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\ProductAuthenticationService\pas.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\yaoffer50160\yaoffer50160.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-RQPL0.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-O2M9O.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-H7EJU.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-ACC1S.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-A73GL.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-8S87C.tmp\idp.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\is-3Q6NQ.tmp\idp.dll','');
QuarantineFile('c:\users\admin\appdata\roaming\utorrent web\utweb.exe','');
QuarantineFile('C:\Program Files\TDH5BORWHX\TDH5BORWH.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-m3gso.tmp\qn1nl1b2nz0.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\dujoo5byrau\qn1nl1b2nz0.exe','');
QuarantineFile('C:\Program Files\NH0UF4C8GJ\NH0UF4C8G.exe','');
QuarantineFile('C:\Program Files (x86)\Multitimer\Multitimer.exe','');
QuarantineFile('c:\program files (x86)\hide all ip\launcherservice.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-nbi3q.tmp\kmm2oi5srg3.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\dpi0l4zwipe\kmm2oi5srg3.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-pth58.tmp\il2b0qsox5l.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\aair015ltom\il2b0qsox5l.exe','');
QuarantineFile('C:\Program Files\HQBTI0A1ZD\HQBTI0A1Z.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-q80i4.tmp\hj5cxso4lwu.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\cacwmxc0jvy\hj5cxso4lwu.exe','');
QuarantineFile('c:\program files (x86)\proxygate\cloud.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-ujs5d.tmp\c2nv0joex3g.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\0mkx45u1fgk\c2nv0joex3g.exe','');
QuarantineFile('C:\Program Files\9HUHAXZ0YH\9HUHAXZ0Y.exe','');
QuarantineFile('C:\Program Files (x86)\fjlqotqhgof\5KXP8YQK67XEBVW.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-37tgc.tmp\2f3jpziv1so.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\ndoks0cfwm4\2f3jpziv1so.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\is-5b76c.tmp\0bpzhrv02un.tmp','');
QuarantineFile('c:\users\admin\appdata\roaming\hwh5af0ookc\0bpzhrv02un.exe','');
DeleteFile('c:\users\admin\appdata\roaming\hwh5af0ookc\0bpzhrv02un.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\ndoks0cfwm4\2f3jpziv1so.exe','32');
DeleteFile('C:\Program Files (x86)\fjlqotqhgof\5KXP8YQK67XEBVW.exe','32');
DeleteFile('C:\Program Files\9HUHAXZ0YH\9HUHAXZ0Y.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\0mkx45u1fgk\c2nv0joex3g.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\cacwmxc0jvy\hj5cxso4lwu.exe','32');
DeleteFile('C:\Program Files\HQBTI0A1ZD\HQBTI0A1Z.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\aair015ltom\il2b0qsox5l.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\dpi0l4zwipe\kmm2oi5srg3.exe','32');
DeleteFile('C:\Program Files\NH0UF4C8GJ\NH0UF4C8G.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\dujoo5byrau\qn1nl1b2nz0.exe','32');
DeleteFile('C:\Program Files\TDH5BORWHX\TDH5BORWH.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\utorrent web\utweb.exe','32');
DeleteFile('C:\Program Files\VS8CPSY62Q\VS8CPSY62.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','utweb');
DeleteFile('C:\Users\Admin\AppData\Local\yaoffer50160\yaoffer50160.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yaoffer50160');
DeleteFile('C:\Program Files\Windows Photo Viewer\MGGHBKCEGYV0XKVZLBVH1T7S\Upfff#m_ae.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Upfff#m_ae.exe');
DeleteFile('C:\Users\Admin\AppData\Roaming\hwh5af0ookc\0bpzhrv02un.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2656467');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9062783');
DeleteFile('C:\Users\Admin\AppData\Roaming\0mkx45u1fgk\c2nv0joex3g.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\dpi0l4zwipe\kmm2oi5srg3.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6919731');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C0SEOIS90UCATJJ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9T855SZUAMXZVVI');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1865984');
DeleteFile('C:\Users\Admin\AppData\Roaming\aair015ltom\il2b0qsox5l.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9JQISR30MSFA7XM');
DeleteFile('C:\Users\Admin\AppData\Roaming\dujoo5byrau\qn1nl1b2nz0.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5915919');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KBYC1QLJ20QWW7D');
DeleteFile('C:\Users\Admin\AppData\Roaming\wrekuuatnkc\4k11xiy504w.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8013800');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ML67QARTA83U0EX');
DeleteFile('C:\Program Files\NRIM9GIAQ7\NRIM9GIAQ.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DRJU78UIT73PW7E');
DeleteFile('C:\Users\Admin\AppData\Roaming\vabpbz5hhpu\gehghi2w1sx.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1317909');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JPD3SYCGAR1GBGA');
DeleteFile('C:\Program Files\REDRD40G21\REDRD40G2.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\xbeeo4wgl3p\yctsrbil3lx.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1004438');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','15FH4U38GMK4UN0');
DeleteFile('C:\Program Files\D2V3ZG75SK\D2V3ZG75S.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\ndoks0cfwm4\2f3jpziv1so.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7048944');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CA0FFVSCLH083UW');
DeleteFile('C:\Users\Admin\AppData\Roaming\cacwmxc0jvy\hj5cxso4lwu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9453612');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_S806N');
DeleteFile('C:\Program Files (x86)\fHDlqDVwU\weeUeJ.dll','32');
DeleteFile('C:\Windows\system32\Tasks\SOVqgpLsuXhFCxp2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.