Здравствуйте!
Помогите пожалуйста с анализом и лечением компьютера.
Изначально он был атакован китайским вирусом (Fake Antivirus и что то еще).
После очистки и недели работы заразился рекламным вирусом, при этом регулярно происходят то проблемы со входом по RDP то в 1С возникают ошибки и сильные замедления в работе.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Voventys, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe'); TerminateProcessByName('c:\users\пк\appdata\roaming\kyubey\kyubey.exe'); StopService('FirefoxU'); StopService('Kyubey'); StopService('flowhlp'); QuarantineFile('C:\Windows\system32\drivers\2345WebProtectFrame.sys', ''); QuarantineFile('C:\Windows\system32\drivers\2345Port.sys', ''); QuarantineFile('C:\Windows\system32\drivers\2345NsProtect.sys', ''); QuarantineFile('C:\Windows\system32\drivers\2345CPort.sys', ''); QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe', ''); QuarantineFile('c:\users\пк\appdata\roaming\winsapsvc\winsap.dll', ''); QuarantineFile('c:\users\пк\appdata\roaming\winsnare\winsnare.dll', ''); QuarantineFile('C:\Program Files\amulell\ed2k.exe', ''); QuarantineFile('C:\Program Files\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe', ''); QuarantineFile('C:\Windows\system32\drivers\flowhlp.dat', ''); QuarantineFile('C:\Windows\ServiceMgr.sys', ''); QuarantineFile('C:\Windows\system32\drivers\trqmdink.sys', ''); QuarantineFile('C:\Users\Default\AppData\Roaming\Clergaiedtherpty\Sherwoshgropoly.dll', ''); QuarantineFile('C:\Program Files\Tencent\QQLive\9.19.1987.0\LiveService.dll', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\SPX\hgqgliwfpq.INF', ''); QuarantineFile('C:\Program Files\Ckerctyjolely Server\local32spl.dll', ''); QuarantineFile('C:\Program Files\UCBrowser\Application\update_task.exe', ''); QuarantineFile('C:\Program Files\Drjother\xcoolle.exe', ''); QuarantineFile('C:\Program Files\ByteFence\ByteFence.exe', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\CDManager\ml.py', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\CDManager\python\pythonw.exe', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\ml.py', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\Adobe\Manager.exe', ''); QuarantineFile('"C:\Program Files\MIO\MIO.exe" -bindurl http://api.suibianmaimaicom.com/wdcxwd5000azlx-00cl5a0_wd-wcc3f3ttvx6atvx6a.dat cmd=', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\vofer\ml.py', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\vofer\python\pythonw.exe', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\Vofer2\ml.py', ''); QuarantineFile('C:\Users\пк\AppData\Roaming\Vofer2\python\pythonw.exe', ''); QuarantineFile('C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\e8bf0c36\d4543c94.dll"', ''); QuarantineFile('C:\PROGRA~2\e8bf0c36\d4543c94.dll', ''); QuarantineFile('C:\ProgramData\{9CB4FF72-2B1F-48D9-6156-6C0BDB2D2853}\E03572A8-579E-C503-70D3-B29D855FDE3F.exe', ''); QuarantineFile('C:\Program Files\UCBrowser\Application\6.0.1471.913\Installer\chrmstp.exe', ''); DeleteFile('c:\users\пк\appdata\roaming\kyubey\kyubey.exe', '32'); DeleteFile('C:\Windows\system32\drivers\2345CPort.sys', '32'); DeleteFile('C:\Windows\system32\drivers\2345NsProtect.sys', '32'); DeleteFile('C:\Windows\system32\drivers\2345Port.sys', '32'); DeleteFile('C:\Windows\system32\drivers\2345WebProtectFrame.sys', '32'); DeleteFile('C:\Windows\Tasks\UCBrowserUpdaterCore.job', '32'); DeleteFile('c:\program files\firefox\bin\firefoxupdate.exe', '32'); DeleteFile('c:\users\пк\appdata\roaming\winsapsvc\winsap.dll', '32'); DeleteFile('c:\users\пк\appdata\roaming\winsnare\winsnare.dll', '32'); DeleteFile('C:\Program Files\amulell\ed2k.exe', '32'); DeleteFile('C:\Program Files\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe', '32'); DeleteFile('C:\Windows\system32\drivers\flowhlp.dat', '32'); DeleteFile('C:\Windows\ServiceMgr.sys', '32'); DeleteFile('C:\Windows\system32\drivers\trqmdink.sys', '32'); DeleteFile('C:\Users\Default\AppData\Roaming\Clergaiedtherpty\Sherwoshgropoly.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQLive\9.19.1987.0\LiveService.dll', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\SPX\hgqgliwfpq.INF', '32'); DeleteFile('C:\Program Files\Ckerctyjolely Server\local32spl.dll', '32'); DeleteFile('C:\Program Files\UCBrowser\Application\update_task.exe', '32'); DeleteFile('C:\Program Files\Drjother\xcoolle.exe', '32'); DeleteFile('C:\Program Files\ByteFence\ByteFence.exe', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\CDManager\ml.py', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\CDManager\python\pythonw.exe', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\ml.py', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\Adobe\Manager.exe', '32'); DeleteFile('"C:\Program Files\MIO\MIO.exe" -bindurl http://api.suibianmaimaicom.com/wdcxwd5000azlx-00cl5a0_wd-wcc3f3ttvx6atvx6a.dat cmd=', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\vofer\ml.py', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\vofer\python\pythonw.exe', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\Vofer2\ml.py', '32'); DeleteFile('C:\Users\пк\AppData\Roaming\Vofer2\python\pythonw.exe', '32'); DeleteFile('C:\PROGRA~2\e8bf0c36\d4543c94.dll', '32'); DeleteFile('C:\ProgramData\{9CB4FF72-2B1F-48D9-6156-6C0BDB2D2853}\E03572A8-579E-C503-70D3-B29D855FDE3F.exe', '32'); DeleteFile('C:\Program Files\UCBrowser\Application\6.0.1471.913\Installer\chrmstp.exe', '32'); DeleteService('2345WebProtectFrame'); DeleteService('2345Port'); DeleteService('2345NsProtect'); DeleteService('2345CPort'); DeleteService('Kyubey'); DeleteService('FirefoxU'); DeleteService('ed2kidle'); DeleteService('Protect_2345Explorer'); DeleteService('flowhlp'); DeleteService('ServiceMgr'); DeleteService('trqmdink'); DeleteFileMask('c:\users\пк\appdata\roaming\kyubey', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\winsnare', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\285401067', '*', true); DeleteFileMask('c:\program files\amulell', '*', true); DeleteFileMask('c:\program files\2345soft', '*', true); DeleteFileMask('c:\users\default\appdata\roaming\clergaiedtherpty', '*', true); DeleteFileMask('c:\program files\tencent', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\spx', '*', true); DeleteFileMask('c:\program files\ckerctyjolely server', '*', true); DeleteFileMask('c:\program files\ucbrowser', '*', true); DeleteFileMask('c:\program files\drjother', '*', true); DeleteFileMask('c:\program files\bytefence', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\cdmanager', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\forceupdatevof', '*', true); DeleteFileMask('"c:\program files\mio', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\vofer', '*', true); DeleteFileMask('c:\users\пк\appdata\roaming\vofer2', '*', true); DeleteFileMask('c:\windows\system32\regsvr32.exe /s /n /i:"/rt" "c:\progra~2\e8bf0c36', '*', true); DeleteFileMask('c:\progra~2\e8bf0c36', '*', true); DeleteFileMask('c:\programdata\{9cb4ff72-2b1f-48d9-6156-6c0bdb2d2853}', '*', true); DeleteFileMask('c:\program files\firefox', '*', true); DeleteDirectory('c:\users\пк\appdata\roaming\kyubey'); DeleteDirectory('c:\users\пк\appdata\roaming\winsnare'); DeleteDirectory('c:\users\пк\appdata\roaming\285401067'); DeleteDirectory('c:\program files\amulell'); DeleteDirectory('c:\program files\2345soft'); DeleteDirectory('c:\users\default\appdata\roaming\clergaiedtherpty'); DeleteDirectory('c:\program files\tencent'); DeleteDirectory('c:\users\пк\appdata\roaming\spx'); DeleteDirectory('c:\program files\ckerctyjolely server'); DeleteDirectory('c:\program files\ucbrowser'); DeleteDirectory('c:\program files\drjother'); DeleteDirectory('c:\program files\bytefence'); DeleteDirectory('c:\users\пк\appdata\roaming\cdmanager'); DeleteDirectory('c:\users\пк\appdata\roaming\forceupdatevof'); DeleteDirectory('"c:\program files\mio'); DeleteDirectory('c:\users\пк\appdata\roaming\vofer'); DeleteDirectory('c:\users\пк\appdata\roaming\vofer2'); DeleteDirectory('c:\windows\system32\regsvr32.exe /s /n /i:"/rt" "c:\progra~2\e8bf0c36'); DeleteDirectory('c:\progra~2\e8bf0c36'); DeleteDirectory('c:\programdata\{9cb4ff72-2b1f-48d9-6156-6c0bdb2d2853}'); DeleteDirectory('c:\program files\firefox'); DelBHO('{331E3884-9215-4629-82C3-E66AF6AF244B}'); DelBHO('{E3605470-291B-44EB-8648-745EE356599A}'); DelBHO('{8002EC7A-C61D-432C-975E-21D616D3B7E7}'); DelBHO('{345E24CA-D936-48F3-992A-BF0071EBBCD0}'); ExecuteFile('schtasks.exe', '/delete /TN "Atoceriedhaserent Mapper" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ByteFence" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ByteFence Scan" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "CDManager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Vofer2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{78BB940E-5433-D9CC-C2EE-DDB7EFB6D37C}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{F4843CBD-432F-8B16-C868-4AF8121CC00C}" /F', 0, 15000, true); DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}'); DelCLSID('{8972B06B-3F0E-42B3-8F2F-1BE2CC64E751}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{1C49109E-0389-11E7-A53A-64006A5CFC23}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\QQLiveService\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Kyubey'); BC_DeleteSvc('2345CPort'); BC_DeleteSvc('2345NsProtect'); BC_DeleteSvc('2345Port'); BC_DeleteSvc('2345WebProtectFrame'); BC_DeleteSvc('flowhlp'); BC_DeleteSvc('ucdrv'); BC_DeleteSvc('awsservice'); ExecuteRepair(4); ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
