раньше я орошался и излечил вирус в сервисе но сейчас он появился
раньше я орошался и излечил вирус в сервисе но сейчас он появился
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Руся Петрунин, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Удалите Pbot через установку программ в панели упраления.
HiJackThis (из каталога автологера) профиксить
Удалите ярлыки:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rigneda.ru/?utm_source=startpage03&utm_content=17932093119668bc1771ad2792b5a42b&utm_term=700DBE012CA4D1D9D375FE1449DCD99E&utm_d=20161107 O4 - HKCU\..\Run: [PBot] "C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Aren\AppData\Roaming\PBot\launchall.py" O4 - HKCU\..\Run: [csrss.exe] C:\Users\Aren\Documents\MSDCSC\msdcsc.exe O4 - HKCU\..\Run: [qfugeqccyb] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=700DBE012CA4D1D9D375FE1449DCD99E&utm_d=20161107" O4 - HKCU\..\RunOnce: [bgaqoikmnv] "C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe" O4 - HKCU\..\RunOnce: [ejhdlooofd] "C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe" O4 - HKCU\..\RunOnce: [hhqgkoouxc] "C:\Users\Aren\AppData\Local\temp\D7qHswpYLQWO.exe" O4 - HKCU\..\RunOnce: [speeddialmaker_delete_self] "C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE" --selfdelete O4 - HKCU\..\RunOnce: [tehfqzhkzh] "C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe" O4 - MSConfig\startupreg: [PBot] "C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Aren\AppData\Roaming\PBot\launchall.py" (2016/12/05) O4 - MSConfig\startupreg: [Zaxar] "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent (2016/12/05) O9 - Extra button: (no name) - Cmdmapping - (no file) O22 - ScheduledTask: (Ready) ComDev - {root} - C:\Users\Aren\AppData\Local\ComDev\ComDev.exe --stid="10899" O22 - ScheduledTask: (Ready) InternetB - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://bhd4.xyz/searchm O22 - ScheduledTask: (Ready) InternetBE - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://inform-world.ru/watchm O22 - ScheduledTask: (Ready) InternetC - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://intenetloading.com/capcum O22 - ScheduledTask: (Ready) InternetD - {root} - "C:\Program Files\Mozilla Firefox\firefox.exe" http://intenetloading.xyz/pinem O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Aren\AppData\Roaming\PBot\python\pythonw.exe app.py O22 - ScheduledTask: (Ready) SearchGo Task - {root} - C:\Users\Aren\AppData\Local\SearchGo\searchgo.exe O22 - ScheduledTask: (Ready) Update Service for VK OK AdBlock - {root} - C:\Program Files\VK OK AdBlock\v6KjaJA.exe O22 - ScheduledTask: (Ready) Update Service for VK OK AdBlock2 - {root} - C:\Program Files\VK OK AdBlock\v6KjaJA.exe O22 - ScheduledTask: (Ready) Update Service for Youtube AdBlock - {root} - C:\Program Files\Youtube AdBlock\ASe4HjD.exe O22 - ScheduledTask: (Ready) Update Service for Youtube AdBlock2 - {root} - C:\Program Files\Youtube AdBlock\ASe4HjD.exe O22 - ScheduledTask: (Ready) VCore - \Microsoft\Windows\Media Center - C:\ProgramData\vCore\VCore.exe -check O22 - ScheduledTask: (Ready) fupdate - {root} - C:\Users\Aren\AppData\Local\fupdate\fupdate.exe O22 - ScheduledTask: (Ready) svshost - {root} - C:\Users\Aren\AppData\Local\svshost\svshost.exe --stid="10899" (file missing)
AVZ выполнить следующий скрипт.Код:"C:\Users\Aren\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (3).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (6).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (7).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (8).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (9).lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk" "C:\Users\Aren\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет.lnk" "C:\Users\Aren\Desktop\Вoйти в Интeрнет.lnk"
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}'); DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}'); TerminateProcessByName('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe'); TerminateProcessByName('c:\program files\youtube adblock\ieef\ik6nctp.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe'); TerminateProcessByName('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe'); QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\cUETWc0I.dll',''); QuarantineFile('C:\Program Files\VK OK AdBlock\v6KjaJA.exe',''); QuarantineFile('C:\Program Files\Youtube AdBlock\ASe4HjD.exe',''); QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\dtC1g7.dll',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\ComDev\ComDev.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\SearchGo\searchgo.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\fupdate\fupdate.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE',''); QuarantineFile('C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe',''); QuarantineFile('C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe',''); QuarantineFile('C:\Users\Aren\AppData\Roaming\PBot\launchall.py',''); QuarantineFile('C:\Users\Aren\Documents\MSDCSC\msdcsc.exe',''); QuarantineFile('C:\Users\Aren\appdata\local\comdev\comdev.exe',''); QuarantineFile('C:\Users\Aren\appdata\local\fupdate\fupdate.exe',''); QuarantineFile('C:\Users\Aren\appdata\local\searchgo\searchgo.exe',''); QuarantineFile('C:\Windows\svchost.com',''); QuarantineFile('c:\program files\microsoft\desktoplayer.exe',''); QuarantineFile('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe',''); QuarantineFile('c:\program files\youtube adblock\ieef\ik6nctp.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe',''); QuarantineFile('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe',''); QuarantineFile('c:\windows\svchost.com',''); DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\cUETWc0I.dll','32'); DeleteFile('C:\Program Files\VK OK AdBlock\v6KjaJA.exe','32'); DeleteFile('C:\Program Files\Youtube AdBlock\ASe4HjD.exe','32'); DeleteFile('C:\Program Files\Youtube AdBlock\IEEF\dtC1g7.dll','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\vCore\VCore.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\svshost\svshost.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\temp\D7qHswpYLQWO.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\temp\GZAkX9kDoBkm.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\temp\TSXOUU~1.EXE','32'); DeleteFile('C:\Users\Aren\AppData\Local\temp\o3D9RJ8DhgxB.exe','32'); DeleteFile('C:\Users\Aren\AppData\Local\temp\q0Cy65DBWqSl.exe','32'); DeleteFile('C:\Users\Aren\AppData\Roaming\PBot\launchall.py','32'); DeleteFile('C:\Users\Aren\Documents\MSDCSC\msdcsc.exe','32'); DeleteFile('C:\Users\Aren\appdata\local\comdev\comdev.exe','32'); DeleteFile('C:\Users\Aren\appdata\local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Aren\appdata\local\searchgo\searchgo.exe','32'); DeleteFile('C:\Users\Aren\documents\msdcsc\msdcsc.exe','32'); DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock2.job','32'); DeleteFile('C:\Windows\svchost.com','32'); ExecuteFile('schtasks.exe', '/delete /TN "ComDev" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true); DeleteFile('c:\program files\vk ok adblock\ieef\sf4yqqqq.exe','32'); DeleteFile('c:\program files\youtube adblock\ieef\ik6nctp.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\4t322lovkwxf.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\4y7mqom1591e.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe','32'); DeleteFile('c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe','32'); DeleteFile('c:\windows\svchost.com','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','csrss.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qfugeqccyb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','bgaqoikmnv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ejhdlooofd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hhqgkoouxc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tehfqzhkzh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PBot','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
ЛОг держите
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
На Вашем ПК обнаружен файловый вирус, проверьте Ваш ПК утилитой Kaspersky Virus Removal Tool.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
косперский не помогает
Всмысле ничего не находит?Сообщение от Руся Петрунин
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
он ничего не испровляет
Как лечить файловый вирус вариант с Live CD предпочтительнее.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
ВОЗМОЖНОСТИ НЕТУ
Что не так ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
на диск нету возможности записать
На флешку запишите.
- - - - -Добавлено - - - - -
P.S. загрузочный CD диск или флешка должны записываться на здоровом не заражённом компьютере, иначе существует вероятность что во время записи он(а) тоже заразиться. Флешка или диск обязательно должны быть загрузочными, иметь возможность загружаться в своей собственном интерфейсе до загрузки Windows.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\users\aren\appdata\local\comdev\comdev.exe - Trojan-Downloader.Win32.AdLoad.njep
- c:\users\aren\appdata\local\fupdate\fupdate.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\searchgo\searchgo.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A, AVAST4: Win32:Apanas [Trj] )
- c:\users\aren\appdata\local\temp\d7qhswpylqwo.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\gzakx9kdobkm.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\o3d9rj8dhgxb.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\q0cy65dbwqsl.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\tsxouu~1.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\4t322lovkwxf.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\users\aren\appdata\local\temp\4y7mqom1591e.exe - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
- c:\windows\svchost.com - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A )
Уважаемый(ая) Руся Петрунин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
