Постоянно вылетает реклама на казино и прочую хрень с интервалом в минуту
Проверку я делал без подключения к интернету, это не повлияет на сбор данных?
Printable View
Постоянно вылетает реклама на казино и прочую хрень с интервалом в минуту
Проверку я делал без подключения к интернету, это не повлияет на сбор данных?
Уважаемый(ая) [B]djreev[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe');
TerminateProcessByName('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe');
TerminateProcessByName('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe');
TerminateProcessByName('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\windows\windefender.exe');
StopService('3CDC15C0E75A');
StopService('GFBYIKMJCK');
StopService('WinDefender');
StopService('Winmon');
StopService('WinmonFS');
StopService('WinmonProcessMonitor');
QuarantineFile('C:\Program Files (x86)\Camal\179975544.exe', '');
QuarantineFile('C:\Program Files (x86)\Camal\644173864.exe', '');
QuarantineFile('C:\Program Files (x86)\Camal\844848044.exe', '');
QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '');
QuarantineFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe', '');
QuarantineFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe', '');
QuarantineFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\ZCDO8h4Ebt.exe', '');
QuarantineFile('C:\Users\Olmega\appdata\local\temp\csrss\cloudnet.exe', '');
QuarantineFile('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe', '');
QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\csrss\lsa64install.exe', '');
QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\GFBYIKMJCK.sys', '');
QuarantineFile('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
QuarantineFile('C:\Users\Olmega\AppData\Roaming\Kodobi\python\pythonw.exe', '');
QuarantineFile('C:\Windows\3CDC15C0E75A.sys', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
QuarantineFile('Companion\Application\WebCompanion.exe', '');
QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
DeleteFile('C:\Program Files (x86)\Camal\179975544.exe', '64');
DeleteFile('C:\Program Files (x86)\Camal\644173864.exe', '64');
DeleteFile('C:\Program Files (x86)\Camal\844848044.exe', '64');
DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32');
DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '');
DeleteFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe', '');
DeleteFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe', '');
DeleteFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\ZCDO8h4Ebt.exe', '64');
DeleteFile('C:\Users\Olmega\appdata\local\temp\csrss\cloudnet.exe', '');
DeleteFile('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe', '');
DeleteFile('C:\Users\Olmega\AppData\Local\Temp\csrss\lsa64install.exe', '');
DeleteFile('C:\Users\Olmega\AppData\Local\Temp\csrss\scheduled.exe', '');
DeleteFile('C:\Users\Olmega\AppData\Local\Temp\GFBYIKMJCK.sys', '');
DeleteFile('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
DeleteFile('C:\Users\Olmega\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
DeleteFile('C:\Users\Olmega\AppData\Roaming\Kodobi\python\pythonw.exe', '');
DeleteFile('C:\Windows\3CDC15C0E75A.sys', '');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
DeleteFile('C:\Windows\Tasks\Online Application V2G1.job', '64');
DeleteFile('C:\Windows\Tasks\Online Application V2G2.job', '64');
DeleteFile('C:\Windows\Tasks\Online Application V2G3.job', '64');
DeleteFile('C:\Windows\Tasks\Online Application V2G4.job', '64');
DeleteFile('C:\Windows\Tasks\Online Application V2G5.job', '64');
DeleteFile('C:\Windows\Tasks\Online Application V2G6.job', '64');
DeleteFile('C:\Windows\Tasks\Updater_Online_Application.job', '64');
DeleteFile('c:\windows\windefender.exe', '');
DeleteFile('Companion\Application\WebCompanion.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "csrss" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Kodobi" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Kodobi2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "lsa64" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Updater_Online_Application" /F', 0, 15000, true);
DeleteService('3CDC15C0E75A');
DeleteService('GFBYIKMJCK');
DeleteService('WinDefender');
DeleteService('Winmon');
DeleteService('WinmonFS');
DeleteService('WinmonProcessMonitor');
DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
DeleteFileMask('c:\program files (x86)\microleaves', '*', true);
DeleteFileMask('c:\program files\sound forge\i867bp58s2lz5wltrk', '*', true);
DeleteFileMask('c:\users\olmega\appdata\local\temp\csrss', '*', true);
DeleteFileMask('c:\users\olmega\appdata\roaming\epicnet inc', '*', true);
DeleteFileMask('c:\windows\rss', '*', true);
DeleteDirectory('c:\program files (x86)\lavasoft');
DeleteDirectory('c:\program files (x86)\microleaves');
DeleteDirectory('c:\program files\sound forge\i867bp58s2lz5wltrk');
DeleteDirectory('c:\users\olmega\appdata\local\temp\csrss');
DeleteDirectory('c:\users\olmega\appdata\roaming\epicnet inc');
DeleteDirectory('c:\windows\rss');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ColdThunder');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'bepujgaym4r');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'bxrblgb1je1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'njgzt30x30k');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Хочу загрузить и прицепить файл DESKTOP-UFHE45D_2019-01-23_01-57-10_v4_1_2.7z но не достаточно места, не пойму как старые логи удалить чтобы загрузить новые :( [ATTACH=CONFIG]676119[/ATTACH]
вот скриншот
"Мой кабинет" -> "Вложения", отметьте относящиеся к самым старым темам и нажмите кнопку "Удалить".
Или загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
прикрепил
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10477_754_190120
zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL
delall %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/RESULTS.PHP?PR=VMN&ID=WEBCOMPA&ENT=CH_WCYID10477_754_190120&Q={SEARCHTERMS}
deldir %SystemDrive%\USERS\OLMEGA\APPDATA\ROAMING\YOUTUBEDOWNLOADER_UPD
deldir %SystemDrive%\USERS\OLMEGA\APPDATA\ROAMING\YOUTUBEDOWNLOADER
deltsk START.PYC
zoo %SystemDrive%\PROGRAM FILES\SOUND FORGE\I867BP58S2LZ5WLTRK\YI625ÇV06C.EXE
addsgn 0DC9775A116A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Trojan-Clicker.MSIL.Agent.gen [Kasper] 7
zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\ERRL6C38SY\ERRL.EXE
addsgn 0DC9779A1C6A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Adware.WizzMonetize.1 [DrWeb] 7
zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\C90ZHX36PU\C90Z.EXE
zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\~NSU.TMP\UN_A.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BF91D092B7F9137C65649DF822017CD33E7B62C8E3B066DC7723320 8 Adware.PBot [Malwarebytes] 7
chklst
delvir
deldir %SystemDrive%\PROGRAM FILES\SOUND FORGE\I867BP58S2LZ5WLTRK
apply
czoo
deltmp
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
на скрине видно что программа зависает, я её запускал неоднократно, ситуация повторятся.
Файл ZOO_2019-01-24_17-37-50.zip в DropBox:
Зачем же карантин, т. е. вирусы на дропбокс, да ещё и ссылку на всеобщее обозрение? Написал же:
[QUOTE]В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.[/QUOTE]
2-й пункт тоже не выполнили. По логу выполнения скрипта ясно будет, что дальше делать.
Отправил "карантин"
а прога виснет, я показал это на скриншоте, как быть?
Лог выполнения скрипта UVS, текстовый файл с именем из даты и времени выполнения прикрепите к сообщению. 3-й раз прошу...
Отключите на время Защитник, если будет виснуть - пробуйте [URL="https://support.microsoft.com/ru-ru/help/12376/windows-10-start-your-pc-in-safe-mode"]в безопасном режиме[/URL].
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]31[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\program files (x86)\microleaves\online application\version =
2.6.0\online-guardian.exe - [B]not-a-virus:AdWare.Win32.Agent.kdin[/B=
][*] c:\program files\sound forge\i867bp58s2lz5wltrk\zcdo8h4ebt.exe=
- [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\olmega\appdata\local\temp\csrss\cloudnet.exe - [B]=
HEUR:Trojan-Proxy.Win32.Glupteba.gen[/B] ( AVAST4: Win32:CrypterX-gen =
[Trj] )[*] c:\users\olmega\appdata\local\temp\csrss\lsa64install.exe -=
[B]UDS:DangerousObject.Multi.Generic[/B] ( AVAST4: Win32:Malware-gen =
)[*] c:\users\olmega\appdata\local\temp\csrss\scheduled.exe - [B=
]Trojan-Downloader.Win32.Bandit.cqg[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\users\olmega\appdata\local\temp\gfbyikmjck.sys - [B]UDS:D=
angerousObject.Multi.Generic[/B] ( AVAST4: Win64:Malware-gen )[*] c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudn=
et.exe - [B]HEUR:Trojan-Proxy.Win32.Glupteba.gen[/B] ( AVAST4: Win32:C=
rypterX-gen [Trj] )[*] c:\windows\rss\csrss.exe - [B]Trojan-Downloader.Win32.Bandit.co=
u[/B] ( AVAST4: Win32:CrypterX-gen [Trj] )[*] c:\windows\system32\drivers\winmonfs.sys - [B]VHO:Rootkit.Win6=
4.Agent.avn[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\winmonprocessmonitor.sys - [B]VHO:=
Rootkit.Win64.Agent.ayv[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\winmon.sys - [B]VHO:Rootkit.Win64.=
Agent.avo[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\windefender.exe - [B]UDS:Trojan-Dropper.Win32.Agent.s=
b[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\windows\3cdc15c0e75a.sys - [B]UDS:DangerousObject.Multi.Gener=
ic[/B][*] \c90z.exe._06cc737a0f5d0631d2f4771cc1bb240a33ea3107 - [B]not-a-vi=
rus:AdWare.MSIL.Agent.aixb[/B] ( BitDefender: Gen:Variant.Barys.50280,=
AVAST4: Win32:Dropper-gen [Drp] )[*] \errl.exe._06cc737a0f5d0631d2f4771cc1bb240a33ea3107 - [B]not-a-vi=
rus:AdWare.MSIL.Agent.aixb[/B] ( BitDefender: Gen:Variant.Barys.50280,=
AVAST4: Win32:Dropper-gen [Drp] )[*] \ie_addon_dll.dll._8845700f12df281d7bed6b456a340ec1f115bdaf - [B]=
not-a-virus:VHO:AdWare.Win32.Machaer.o[/B][*] \yi625cv06c.exe._d6f8205fe5ab776b0352438396b265836cb01235 - [B]HE=
UR:Trojan-Clicker.MSIL.Agent.gen[/B] ( AVAST4: Win32:Trojan-gen )[/LIST][/LIST]