Вместо нужного файла качается архив, в данном архиве ещё один архив, а в нем запакован данный файл.
В конце прилагается архив логов. Сайт нормальный, проверен мной.
Вместо нужного файла качается архив, в данном архиве ещё один архив, а в нем запакован данный файл.
В конце прилагается архив логов. Сайт нормальный, проверен мной.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) igorek5262, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 178.132.6.57 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 193.238.153.54 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 35.177.46.238 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 82.202.226.203 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 84.2.44.1 O17 - HKLM\System\CSS\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 84.2.46.1 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 35.177.46.238 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 84.2.44.1 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6801a625-aa65-4f81-88f7-93330059d4d2}: NameServer = 84.2.46.1Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\windows\microsoft\svchost.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); StopService('SvcHost Service Host'); StopService('wfcre'); QuarantineFile('C:\Users\igore\AppData\Local\geckof\geckof.exe', ''); QuarantineFile('C:\Users\igore\AppData\Local\yc\Application\yc.exe', ''); QuarantineFile('C:\Users\igore\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\igore\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', ''); QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', ''); DeleteFile('C:\Users\igore\AppData\Local\geckof\geckof.exe', '32'); DeleteFile('C:\Users\igore\AppData\Local\yc\Application\yc.exe', '32'); DeleteFile('C:\Users\igore\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\igore\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('c:\windows\microsoft\svchost.exe', '32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32'); DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32'); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "geckof" /F', 0, 15000, true); DeleteService('SvcHost Service Host'); DeleteService('wfcre'); DeleteFileMask('c:\users\igore\appdata\local\geckof', '*', true); DeleteFileMask('c:\users\igore\appdata\local\yc', '*', true); DeleteFileMask('c:\users\igore\appdata\roaming\curl', '*', true); DeleteDirectory('c:\users\igore\appdata\local\geckof'); DeleteDirectory('c:\users\igore\appdata\local\yc'); DeleteDirectory('c:\users\igore\appdata\roaming\curl'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_8F5A3609587230920208081CBDC20FBD'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
