Здравствуйте, вирус в каждой папке создает exe файл с названием этой папки датой 2017 года(на флешке та же история). Захламил все пространство. Перекрыл работу командной строки, диспетчера задач. Лечение программами Dr. Web и Avast не помогло.
Здравствуйте, вирус в каждой папке создает exe файл с названием этой папки датой 2017 года(на флешке та же история). Захламил все пространство. Перекрыл работу командной строки, диспетчера задач. Лечение программами Dr. Web и Avast не помогло.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) minto, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\natali\appdata\roaming\musallat.exe'); DeleteFile('c:\users\natali\appdata\roaming\musallat.exe', ''); DeleteFile('C:\Users\Natali\AppData\Roaming\MusaLLaT.exe', '32'); DeleteFile('C:\Users\Natali\AppData\Roaming\MusaLLaT.exe', '64'); DeleteFile('E:\autorun.inf', ''); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MusaLLaT', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MusaLLaT', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteSchedulerTask('Microsoft\Windows Defender\MP Scheduled Scan'); DeleteSchedulerTask('Microsoft\Windows Defender\MpIdleTask'); ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(13); ExecuteRepair(17); RebootWindows(true); end.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Сделайте новый лог Autologger.Код:O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator [StartExe] = C:\Windows\System32\Narrator.exe (file missing) O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath (default) = C:\Windows\system32\sdclt.exe (file missing)
WBR,
Vadim
Сделал
Отключите до перезагрузки все экраны Avast.
Выполните в AVZ скрипт:После перезагрузки сделайте такой лог.Код:begin ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); RebootWindows(false); end.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Готово
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: Systemrestore: On CreateRestorePoint: S3 AIDA64Driver; \??\E:\test\AIDA64\kerneld.v64 [X] U3 ehRecvr; отсутствует ImagePath U3 ehSched; отсутствует ImagePath U4 EhttpSrv; отсутствует ImagePath U4 ekrn; отсутствует ImagePath Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\temp\*.*" sfc /scannow endbatch: C:\Windows\Temp\*.* C:\WINDOWS\system32\*.tmp C:\WINDOWS\syswow64\*.tmp Reboot: End::
Компьютер будет перезагружен автоматически.
После перезагрузки в списке установленных программ появится Avast Update Helper, деинсталлируйте штатно, при неуспехе - программой Geek Uninstaller Free.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Уважаемый(ая) minto, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
