Добрый день, поймал вредоносное ПО, установились разные программы и процессы, с разными странными названиями вплоть до китайских иероглифов. А так же выскакивают окна с рекламой и видео в браузере.
Добрый день, поймал вредоносное ПО, установились разные программы и процессы, с разными странными названиями вплоть до китайских иероглифов. А так же выскакивают окна с рекламой и видео в браузере.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ek1rts, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\mediaserchie\mr2to1x.exe'); TerminateProcessByName('c:\program files (x86)\yubealckie\m6baxgmi.exe'); TerminateProcessByName('c:\users\Сережа\appdata\local\microsoft\windows\1033\colorscheme.exe'); DelBHO('{17FE002F-FCF8-4B85-BEA7-5E551B7D4010}'); DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{B3A986DC-C2DD-40A0-8C0C-FEF66B783511}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); StopService('QMUdisk'); StopService('QQPCRTP'); StopService('QQSysMonX64'); StopService('TAOAccelerator'); StopService('TFsFlt'); StopService('TSSKX64'); StopService('tsnethlpx64'); DeleteService('QMUdisk'); DeleteService('QQPCRTP'); DeleteService('QQSysMonX64'); DeleteService('TAOKernelDriver'); DeleteService('TFsFlt'); DeleteService('TSSKX64'); DeleteService('TSSysKit'); DeleteService('softaal'); DeleteService('tsnethlpx64'); QuarantineFile('C:\Program Files (x86)\Maskit\MaskitService.exe',''); QuarantineFile('C:\Program Files (x86)\MediaSerchIE\k9zKvAy.dll',''); QuarantineFile('C:\Program Files (x86)\MediaSerchIE\ksYy4j.dll',''); QuarantineFile('C:\Program Files (x86)\MediaSerchU2\EKmyIvM.dll',''); QuarantineFile('C:\Program Files (x86)\MediaSerchU\r5PJGgh.dll',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMCommon.dll',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMContextScan.dll',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMIESAFEDLL.DLL',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQPCRTP.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQPCTRAY.EXE',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQSysMonX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TSSysKit64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe',''); QuarantineFile('C:\Program Files (x86)\YubeAlckIE\fxFmUU.dll',''); QuarantineFile('C:\Program Files (x86)\YubeAlckIE\kjkiwOkrM.dll',''); QuarantineFile('C:\Program Files (x86)\YubeAlckU2\ripewSc.dll',''); QuarantineFile('C:\Program Files (x86)\YubeAlckU\WXdWHn4.dll',''); QuarantineFile('C:\Program Files (x86)\y1qgjahkd1r\F3DXV.exe',''); QuarantineFile('C:\Program Files (x86)\y1qgjahkd1r\XYFZ6WGEP0DVTEO.exe',''); QuarantineFile('C:\Program Files\028HUXJ277\028HUXJ27.exe',''); QuarantineFile('C:\Program Files\9OB1KAFANB\9OB1KAFAN.exe',''); QuarantineFile('C:\Program Files\HBBV2S0RF4\HBBV2S0RF.exe',''); QuarantineFile('C:\Program Files\LC1NI9SL4N\LC1NI9SL4.exe',''); QuarantineFile('C:\Program Files\LF7U9LDNBR\3784OWAWM.exe',''); QuarantineFile('C:\Program Files\ZXQC1INKPN\ZXQC1INKP.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Local\Microsoft\Windows\1033\libgzl.dll',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\acpengk55vc\3fdkxpxy41p.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\bkhshqdys5e\s4q1tj1uogb.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\kb2s5xu4myb\jipev2uqrl4.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\l4ri3amtycv\d2v5yrk1aqj.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\madoqi0jbqk\kcgamff43v5.exe',''); QuarantineFile('C:\Users\Сережа\AppData\Roaming\uo3yuca0avx\131meui0b0s.exe',''); QuarantineFile('C:\Users\2333~1\AppData\Local\Temp\AppHelperV7.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\fblfaxhaw.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\iztkxaeeb.sys',''); QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys',''); QuarantineFile('C:\Windows\system32\Drivers\TAOKernel64.sys',''); QuarantineFile('C:\Windows\system32\Drivers\TFsFltX64.sys',''); QuarantineFile('C:\Windows\system32\drivers\cfidsk.sys',''); QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys',''); QuarantineFile('c:\program files (x86)\mediaserchie\mr2to1x.exe',''); QuarantineFile('c:\program files (x86)\yubealckie\m6baxgmi.exe',''); QuarantineFile('c:\users\Сережа\appdata\local\microsoft\windows\1033\colorscheme.exe',''); DeleteFile('C:\Program Files (x86)\MediaSerchIE\k9zKvAy.dll','32'); DeleteFile('C:\Program Files (x86)\MediaSerchIE\ksYy4j.dll','32'); DeleteFile('C:\Program Files (x86)\MediaSerchU2\EKmyIvM.dll','32'); DeleteFile('C:\Program Files (x86)\MediaSerchU\r5PJGgh.dll','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMCommon.dll','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMContextScan.dll','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMIESAFEDLL.DLL','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQPCRTP.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQPCTRAY.EXE','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QQSysMonX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TSClinicWebFix.dll','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TSSysKit64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\softaal64.sys','32'); DeleteFile('C:\Program Files (x86)\YubeAlckIE\fxFmUU.dll','32'); DeleteFile('C:\Program Files (x86)\YubeAlckIE\kjkiwOkrM.dll','32'); DeleteFile('C:\Program Files (x86)\YubeAlckU2\ripewSc.dll','32'); DeleteFile('C:\Program Files (x86)\YubeAlckU\WXdWHn4.dll','32'); DeleteFile('C:\Program Files (x86)\y1qgjahkd1r\XYFZ6WGEP0DVTEO.exe','32'); DeleteFile('C:\Program Files\028HUXJ277\028HUXJ27.exe','32'); DeleteFile('C:\Program Files\7PNFXWCA4L\X309DVOC2.exe','32'); DeleteFile('C:\Program Files\8ORXFA6DHU\QGS8VM2MR.exe','32'); DeleteFile('C:\Program Files\9OB1KAFANB\9OB1KAFAN.exe','32'); DeleteFile('C:\Program Files\BPT4VIB58H\PG8YQCWSI.exe','32'); DeleteFile('C:\Program Files\CJGPE9K6VG\CJGPE9K6V.exe','32'); DeleteFile('C:\Program Files\HBBV2S0RF4\HBBV2S0RF.exe','32'); DeleteFile('C:\Program Files\HE84IFM3DV\LZX7YKQ90.exe','32'); DeleteFile('C:\Program Files\KMPNJ97GXO\KMPNJ97GX.exe','32'); DeleteFile('C:\Program Files\LC1NI9SL4N\LC1NI9SL4.exe','32'); DeleteFile('C:\Program Files\LF7U9LDNBR\3784OWAWM.exe','32'); DeleteFile('C:\Program Files\ZXQC1INKPN\ZXQC1INKP.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\5teq5fws2g0\o2qtgv4car5.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\TestService\TestService.vbs','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\acpengk55vc\3fdkxpxy41p.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\bkhshqdys5e\s4q1tj1uogb.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\kb2s5xu4myb\jipev2uqrl4.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\l4ri3amtycv\d2v5yrk1aqj.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\madoqi0jbqk\kcgamff43v5.exe','32'); DeleteFile('C:\Users\Сережа\AppData\Roaming\uo3yuca0avx\131meui0b0s.exe','32'); DeleteFile('C:\Users\2333~1\AppData\Local\Temp\AppHelperV7.exe','32'); DeleteFile('C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job','32'); DeleteFile('C:\Windows\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511.job','32'); DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys','32'); DeleteFile('C:\Windows\system32\Drivers\TAOKernel64.sys','32'); DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('c:\program files (x86)\mediaserchie\mr2to1x.exe','32'); DeleteFile('c:\program files (x86)\yubealckie\m6baxgmi.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B7835112" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "U2_B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true); DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\Tencent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','431VZ527U69TKE6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4po2leuu5bc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','53pt50x0h4l'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','L37W4INB893B48A'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Q6776W19RMRWU24'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2UEDTNRMFZ15BIG','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4672PGN91AZZJ1Y','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5XXKGZOUFVISW8P','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppHelperV7.exe','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BZPT1QMZ6UYWMGE','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DUJBOJYM2QES8U3','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\J3Z5UKIR473RPC2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\O94R9GQXMDTVJVV','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TestService.vbs','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UA35CPE5O87A2HH','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Y1JERJPXKNPJOL9','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YUHOTFSA43PL09F','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YeaDesktop','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cpfjmqcrpdl','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qbl1lh1qevb','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qnwjvr35rmh','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sq5pjpfbt5n','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_CCHL4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отправляю логи
Важно не прикладывайте карантин как вложение к теме.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
