Появились скрытые копии ярлыков некоторых приложений. [not-a-virus:AdWare.NSIS.Agent.gx
]
Здравствуйте, прошу вашей помощи. Получилось так, что случайно установил браузер Амиго, Комету и всю прочую ересь от Майла, ну точнее оно скрыто установилось (галочек не было). Антивирь сразу начал ругаться и поудалял все полностью. Но вот я не мог перезапустить компьютер (кнопка перезагрузить была неактивна), доступ к интернету был закрыт и поиск среди файлов был недоступен (ввожу в строчку название файла - ноль реакции). После принудительной перезагрузки ОС начала восстановление раздела или что-то подобное. В общем доступ к интернету восстановился и всё стало на свои места. Но после всего этого на рабочем столе остались скрытые копии ярлыков браузеров, некоторых онлайн игр, а так же приложения Overwolf (такой оверлей для полноэкранных приложений). Более того, появился скрытый съемный диск Н, размером в 0 байт. Понятия не имею что это за ярлыки, раньше их не было (показ скрытых файлов\папок был включен постоянно), полагаю те ярлыки, которые не скрыты - шпионские, либо заражены каким-то рекламным вирусом. Прикрепляю к запросу все необходимые файлы, прошу помочь, как будет возможность.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) александр белянкин, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Александр\AppData\Local\couponriser\config.json','');
QuarantineFile('C:\Users\Александр\AppData\Local\couponriser\couponriser_stb.exe','');
DeleteFile('C:\Users\Александр\AppData\Local\couponriser\couponriser_stb.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\couponriser\config.json','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','couponriser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Файл сохранён как 151014_230805_quarantine_561ea8155700e.zip
Размер файла 307460
MD5 f7a04987cfda19ef9f8a1055c9a24010
Карантин отправлен. Архив virusinfo_syscure.zip не создался во время выполнения скрипта. У меня и в первый раз возникли проблемы с его созданием, я так и не понял как его создал в первый раз. Если не трудно, то скажите как создать этот лог. Отправляю новые логи.
- - - - -Добавлено - - - - -
Все таки создал четвертый лог. Прикрепляю его. Во время сканирования АВЗшкой, Касперский удалил следующий файл, посчитав его за угрозу: http://prntscr.com/8rbpb0 (ссылка на фотохостинг).
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Хм... действительно это так, а я уже думал, что вирус создал собственную базу данных на компе в виде этого носителя, или что-то подобное. Спасибо, проблема решена)
Уважаемый(ая) александр белянкин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Появились скрытые копии ярлыков некоторых приложений. [not-a-virus:AdWare.NSIS.Agent.gx
]
и сохраните на Рабочем столе.
