вирус

[apxapa74]

Недавно поймал трояна. Вирусник его определил, но удалить не смог. После возвращения системы в контольную точку, троян пропал. Только браузер фокс стал теперь подтормаживать и появляются всплывающие окна постоянно. Когда появился вирус, примерно в это же время установили что-то маиловское(почта, поисковик и т.д.) Переодически выскакивает IE с рекламой.

[Info_bot]

Уважаемый(ая) apxapa74, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\PC\Downloads\setup15.exe','');
 QuarantineFile('C:\Users\PC\Downloads\setup16.exe','');
 QuarantineFile('C:\ProgramData\{2032EE86-9799-592D-D6BB-A2F5F34E09D4}\C84D4141-7FE6-F6EA-12F2-BDD84C347EFC.exe','');
 QuarantineFile('C:\ProgramData\{6E340872-D99F-BFD9-3663-8EB5383CB009}\F5B56015-421E-D7BE-0D5B-5BC98406E138.exe','');
 QuarantineFile('C:\ProgramData\{17F9A6DE-A052-1175-C410-A23AE3FCFF07}\A5DF37A2-1274-8009-AFD6-C4DB0C98F0EF.exe','');
 QuarantineFile('C:\ProgramData\{C716A2A6-70BD-150D-8E73-AA6310575F4E}\1B5D484C-ACF6-FFE7-4843-F5D047479BBC.exe','');
 QuarantineFile('C:\ProgramData\{C58D9B46-7226-2CED-4F1D-974BE89920D1}\69EDA593-DE46-1238-C1A5-75EF839DDB13.exe','');
 QuarantineFile('C:\ProgramData\{F0133787-47B8-802C-1A02-89EA439A925B}\558AF6D1-E221-417A-E9C8-7DEF3ED4D5F9.exe','');
 QuarantineFile('C:\ProgramData\{3DA7A789-8A0C-1022-F028-0033E2481FE6}\15E5DB5F-A24E-6CF4-5B18-11305E3A4D8B.exe','');
 QuarantineFile('C:\ProgramData\{51604A64-E6CB-FDCF-222C-2842AF0B94C5}\29E63012-9E4D-87B9-423F-6A74C7C3EF39.exe','');
 QuarantineFile('C:\ProgramData\{596E9378-EEC5-24D3-C6F2-81B05B6A8907}\001D3BC9-B7B6-8C62-FA15-9E81C9A79F20.exe','');
 QuarantineFile('C:\ProgramData\{A1B000CF-161B-B764-7249-4B1114DF41F4}\FD4E9123-4AE5-2688-1019-C0288911019A.exe','');
 QuarantineFile('C:\ProgramData\{9E2228EF-2989-9F44-393D-53A214C6F763}\7417B638-C3BC-0193-A200-96B940FE8463.exe','');
 QuarantineFile('C:\ProgramData\{609D4A9F-D736-FD34-ADCD-9DA69698DC91}\A1AE77B0-1605-C01B-2C6A-AE65CC3FA657.exe','');
 QuarantineFile('C:\ProgramData\{7A67AE3F-CDCC-1994-8204-9E5AE5A6DEDD}\AA36E6B3-1D9D-5118-2C2F-09858A98528A.exe','');
 QuarantineFile('C:\ProgramData\{D0CAA2B0-6761-151B-5772-4406499C086C}\D9875271-6E2C-E5DA-A5A5-FAD0198048E7.exe','');
 QuarantineFile('C:\ProgramData\{7B461E20-CCED-A98B-3EA3-08B8C4587701}\0A63CF50-BDC8-78FB-FA4C-74984D458260.exe','');
 QuarantineFile('C:\ProgramData\{8B821F2D-3C29-A886-BBB4-0493D63F542B}\5109D1DB-E6A2-6670-904E-6F184937E132.exe','');
 QuarantineFile('C:\PROGRA~3\3ee76303\189ede87.dll','');
 QuarantineFile('C:\Program Files (x86)\Omiga Plus\omigaplus.exe','');
 QuarantineFile('C:\Program Files (x86)\Desk 365\desk365.exe','');
 QuarantineFile('C:\Users\PC\AppData\Roaming\BabSolution\Shared\enhancedNT.dll','');
 QuarantineFile('C:\Users\PC\AppData\Roaming\newnext.me\nengine.dll','');
 QuarantineFile('C:\Windows\system32\drivers\dygvrxiq.sys','');
 QuarantineFileF('C:\Program Files\Reimage\Reimage Protector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Omiga Plus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 StopService('ReimageRealTimeProtector');
 DeleteService('ReimageRealTimeProtector');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','32');
 DeleteFile('C:\Program Files (x86)\Omiga Plus\omigaplus.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Omiga Plus', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Omiga Plus');
 DeleteFileMask('C:\Program Files\Reimage\Reimage Protector', '*', true);
 DeleteDirectory('C:\Program Files\Reimage\Reimage Protector');
 DeleteFile('C:\ProgramData\{8B821F2D-3C29-A886-BBB4-0493D63F542B}\5109D1DB-E6A2-6670-904E-6F184937E132.exe','32');
 DeleteFile('C:\ProgramData\{7B461E20-CCED-A98B-3EA3-08B8C4587701}\0A63CF50-BDC8-78FB-FA4C-74984D458260.exe','32');
 DeleteFile('C:\ProgramData\{D0CAA2B0-6761-151B-5772-4406499C086C}\D9875271-6E2C-E5DA-A5A5-FAD0198048E7.exe','32');
 DeleteFile('C:\ProgramData\{7A67AE3F-CDCC-1994-8204-9E5AE5A6DEDD}\AA36E6B3-1D9D-5118-2C2F-09858A98528A.exe','32');
 DeleteFile('C:\ProgramData\{609D4A9F-D736-FD34-ADCD-9DA69698DC91}\A1AE77B0-1605-C01B-2C6A-AE65CC3FA657.exe','32');
 DeleteFile('C:\ProgramData\{9E2228EF-2989-9F44-393D-53A214C6F763}\7417B638-C3BC-0193-A200-96B940FE8463.exe','32');
 DeleteFile('C:\ProgramData\{A1B000CF-161B-B764-7249-4B1114DF41F4}\FD4E9123-4AE5-2688-1019-C0288911019A.exe','32');
 DeleteFile('C:\ProgramData\{596E9378-EEC5-24D3-C6F2-81B05B6A8907}\001D3BC9-B7B6-8C62-FA15-9E81C9A79F20.exe','32');
 DeleteFile('C:\ProgramData\{51604A64-E6CB-FDCF-222C-2842AF0B94C5}\29E63012-9E4D-87B9-423F-6A74C7C3EF39.exe','32');
 DeleteFile('C:\ProgramData\{3DA7A789-8A0C-1022-F028-0033E2481FE6}\15E5DB5F-A24E-6CF4-5B18-11305E3A4D8B.exe','32');
 DeleteFile('C:\ProgramData\{F0133787-47B8-802C-1A02-89EA439A925B}\558AF6D1-E221-417A-E9C8-7DEF3ED4D5F9.exe','32');
 DeleteFile('C:\ProgramData\{C58D9B46-7226-2CED-4F1D-974BE89920D1}\69EDA593-DE46-1238-C1A5-75EF839DDB13.exe','32');
 DeleteFile('C:\ProgramData\{C716A2A6-70BD-150D-8E73-AA6310575F4E}\1B5D484C-ACF6-FFE7-4843-F5D047479BBC.exe','32');
 DeleteFile('C:\ProgramData\{17F9A6DE-A052-1175-C410-A23AE3FCFF07}\A5DF37A2-1274-8009-AFD6-C4DB0C98F0EF.exe','32');
 DeleteFile('C:\ProgramData\{6E340872-D99F-BFD9-3663-8EB5383CB009}\F5B56015-421E-D7BE-0D5B-5BC98406E138.exe','32');
 DeleteFile('C:\ProgramData\{2032EE86-9799-592D-D6BB-A2F5F34E09D4}\C84D4141-7FE6-F6EA-12F2-BDD84C347EFC.exe','32');
 ExecuteFile('schtasks.exe', 'Omiga Plus RunAsStdUser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', 'ReimageUpdater" /F', 0, 15000, true);
 DeleteFile(' C:\Users\PC\Favorites\Links\Интернет.url','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{222CFBB7-9587-4C1C-15ED-0E255129635C}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{405E8479-F7F5-33D2-FF61-1D71B353D8D3}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{56F9B28A-E152-0521-D508-F84250A0BEB3}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{761CB590-C1B7-023B-FB09-E5F2AB73DCF3}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{79827C1C-CE29-CBB7-332A-ED2BB258044E}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{846A1937-33C1-AE9C-9AFD-FB15561CFD38}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{880EBB8D-3FA5-0C26-5F13-32A5DA38ACEC}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9B592E6C-2CF2-99C7-FECA-94C9EF3400D7}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9C4BA1AA-2BE0-1601-CCF2-66909B668561}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{AB41A17D-1CEA-16D6-3826-FE7D675D1D31}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C0FA2AA5-7751-9D0E-995B-A4665DB36712}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C97F0C07-7ED4-BBAC-7C83-017BC52C41CC}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{CC04EEE7-7BAF-594C-4CB7-45F1B5B6F95F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E0A40FF8-570F-B853-65DD-3D99EEC26946}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{EC6EF91B-5BC5-4EB0-9E55-8126A523CFF5}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F59B4765-4230-F0CE-E8AE-D7D8BA79CBAA}" /F', 0, 15000, true);
 ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O23 - Service R2: Reimage Real Time Protector - (ReimageRealTimeProtector) - Reimage® - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe

3. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

4. Сделайте новые логи AutoLogger'a.

[apxapa74]

спасибо. все сделал.

по п.2. Пофиксить пункт:- O23 - Service R2: Reimage Real Time Protector - (ReimageRealTimeProtector) - Reimage® - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe , не смог, т.к. не нашол онный .

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 StopService('dygvrxiq');
 DeleteFile('C:\Windows\system32\drivers\dygvrxiq.sys','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Program Files (x86)\Omiga Plus\omigaplus.exe','32');
 DeleteFile('C:\PROGRA~3\3ee76303\189ede87.dll','32');
 DeleteService('dygvrxiq');
 ExecuteFile('schtasks.exe', '/delete /TN "Omiga Plus RunAsStdUser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ReimageUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{167BAFBF-23C9-0586-8EA5-734F00197B46}" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер будет перезагружен.

2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.



Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены