Добрый день!
Просьба помочь в решении проблемы. Самопроизвольно запускается браузер и открывается реклама. При попытке запуска antimalware-программ выскакивает сообщение "Этот издатель заблокирован и его программы не будут запускаться на компьютере". Логи от Autologger прикрепил.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aceua, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\igor\appdata\roaming\event monitor\em.exe'); TerminateProcessByName('C:\Windows\Temp\gD8BC.tmp.exe'); TerminateProcessByName('C:\Users\igor\AppData\Local\5e07381ad33d438886be05a1728f6e35\hg0Qq1cwXN8lpL.exe'); TerminateProcessByName('c:\program files (x86)\yiuaskie\m0xzjies.exe'); TerminateProcessByName('c:\program files (x86)\mafarchie\mbwexdie.exe'); StopService('wfcre'); QuarantineFile('c:\users\igor\appdata\roaming\event monitor\em.exe', ''); QuarantineFile('C:\Windows\Temp\gD8BC.tmp.exe', ''); QuarantineFile('C:\Users\igor\AppData\Local\5e07381ad33d438886be05a1728f6e35\hg0Qq1cwXN8lpL.exe', ''); QuarantineFile('c:\program files (x86)\yiuaskie\m0xzjies.exe', ''); QuarantineFile('c:\program files (x86)\mafarchie\mbwexdie.exe', ''); QuarantineFile('C:\Users\igor\AppData\Roaming\Event Monitor\isxdl.dll', ''); QuarantineFile('C:\Program Files (x86)\YiuAskIE\kpgxrp6Ut.dll', ''); QuarantineFile('C:\Program Files (x86)\MafarchIE\kGvdeJf.dll', ''); QuarantineFile('C:\Program Files (x86)\YiuAskIE\5yRemxH.dll', ''); QuarantineFile('C:\Program Files (x86)\MafarchIE\YlGRZnL.dll', ''); QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', ''); QuarantineFile('C:\ProgramData\Microsoft\DeviceSync\LocalSetting.dll', ''); QuarantineFile('C:\Users\igor\AppData\Local\htyh\application\HTDataView.dll', ''); QuarantineFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll', ''); QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe', ''); QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online', ''); QuarantineFile('C:\Users\igor\AppData\Local\Amigo\Application\amigo.exe https:\mail.ru', ''); QuarantineFile('C:\Users\igor\AppData\Local\Amigo\Application\amigo.exe', ''); QuarantineFile('C:\ProgramData\RenewalService\Service.exe', ''); QuarantineFile('C:\Program Files\Secretbeck Monitor for Visions\Secretbeck Monitor for Visions.dll', ''); QuarantineFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll', ''); QuarantineFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', ''); QuarantineFile('C:\Users\igor\appdata\roaming\gplyra\gplyra\gplyra.exe', ''); QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0); DeleteFile('C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job', '64'); DeleteFile('C:\WINDOWS\Tasks\Online Application V2G1.job', '64'); DeleteFile('C:\WINDOWS\Tasks\Online Application V2G2.job', '64'); DeleteFile('C:\WINDOWS\Tasks\Online Application V2G3.job', '64'); DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job', '64'); DeleteFile('c:\users\igor\appdata\roaming\event monitor\em.exe', '32'); DeleteFile('C:\Windows\Temp\gD8BC.tmp.exe', '32'); DeleteFile('C:\Users\igor\Favorites\Links\Интернет.url', '32'); DeleteFile('C:\Users\igor\Favorites\OVGORSKIY.url', '32'); DeleteFile('C:\Users\igor\AppData\Local\5e07381ad33d438886be05a1728f6e35\hg0Qq1cwXN8lpL.exe', '32'); DeleteFile('c:\program files (x86)\yiuaskie\m0xzjies.exe', '32'); DeleteFile('c:\program files (x86)\mafarchie\mbwexdie.exe', '32'); DeleteFile('C:\Users\igor\AppData\Roaming\Event Monitor\isxdl.dll', '32'); DeleteFile('C:\Program Files (x86)\YiuAskIE\kpgxrp6Ut.dll', '32'); DeleteFile('C:\Program Files (x86)\MafarchIE\kGvdeJf.dll', '32'); DeleteFile('C:\Program Files (x86)\YiuAskIE\5yRemxH.dll', '32'); DeleteFile('C:\Program Files (x86)\MafarchIE\YlGRZnL.dll', '32'); DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32'); DeleteFile('C:\ProgramData\Microsoft\DeviceSync\LocalSetting.dll', '32'); DeleteFile('C:\Users\igor\AppData\Local\htyh\application\HTDataView.dll', '32'); DeleteFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll', '32'); DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe', '32'); DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '32'); DeleteFile('C:\Users\igor\AppData\Local\Amigo\Application\amigo.exe https:\mail.ru', '32'); DeleteFile('C:\Users\igor\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE', '32'); DeleteFile('C:\ProgramData\RenewalService\Service.exe', '32'); DeleteFile('C:\Program Files\Secretbeck Monitor for Visions\Secretbeck Monitor for Visions.dll', '32'); DeleteFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll', '32'); DeleteFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', '32'); DeleteFile('C:\Users\igor\appdata\roaming\gplyra\gplyra\gplyra.exe', '32'); DeleteService('wfcre'); DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true); DeleteFileMask('c:\users\igor\appdata\roaming\event monitor', '*', true); DeleteFileMask('c:\program files (x86)\yiuaskie', '*', true); DeleteFileMask('c:\program files (x86)\mafarchie', '*', true); DeleteFileMask('c:\users\igor\appdata\local\htyh', '*', true); DeleteFileMask('c:\program files (x86)\yiuasku', '*', true); DeleteFileMask('c:\program files (x86)\microleaves', '*', true); DeleteFileMask('c:\users\igor\appdata\local\amigo', '*', true); DeleteFileMask('c:\progra~2\fastda~1', '*', true); DeleteFileMask('c:\programdata\renewalservice', '*', true); DeleteFileMask('c:\program files\secretbeck monitor for visions', '*', true); DeleteFileMask('c:\program files (x86)\yiuasku2', '*', true); DeleteFileMask('c:\program files (x86)\mafarchu2', '*', true); DeleteFileMask('c:\users\igor\appdata\roaming\gplyra', '*', true); DeleteDirectory('c:\users\igor\appdata\roaming\event monitor'); DeleteDirectory('c:\program files (x86)\yiuaskie'); DeleteDirectory('c:\program files (x86)\mafarchie'); DeleteDirectory('c:\users\igor\appdata\local\htyh'); DeleteDirectory('c:\program files (x86)\yiuasku'); DeleteDirectory('c:\program files (x86)\microleaves'); DeleteDirectory('c:\users\igor\appdata\local\amigo'); DeleteDirectory('c:\progra~2\fastda~1'); DeleteDirectory('c:\programdata\renewalservice'); DeleteDirectory('c:\program files\secretbeck monitor for visions'); DeleteDirectory('c:\program files (x86)\yiuasku2'); DeleteDirectory('c:\program files (x86)\mafarchu2'); DeleteDirectory('c:\users\igor\appdata\roaming\gplyra'); DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}'); DelBHO('{97510FAC-ED50-46BF-B2A1-25F434BF1030}'); DelBHO('{B3A986DC-C2DD-40A0-8C0C-FEF66B783511}'); DelBHO('{17FE002F-FCF8-4B85-BEA7-5E551B7D4010}'); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Amigo Browser" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "FastDataX Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Diagnosis\RenewalService" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Secretbeck Monitor for Visions" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "U2_B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Updater_Online_Application" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hg0Qq1cwXN8lpL.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MS_UPDATE_SVR\Parameters', 'ServiceDll'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог Malwarebytes AdwCleaner.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
