Лечение компьютера.

**Darth_Veider** · 02.09.2017, 10:37

Здравствуйте, хотелось бы получить помощь, так как на компьютере вирусы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.09.2017, 10:45

Уважаемый(ая) Darth_Veider, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Darth_Veider** · 02.09.2017, 16:58

up!

**mike 1** · 02.09.2017, 21:14

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\Admin\appdata\local\searchgo\searchgo.exe','');
 QuarantineFile('C:\Users\Admin\appdata\local\wutphost\wutphost.exe','');
 QuarantineFile('C:\Users\Admin\appdata\local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\wutphost\wutphost.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\curl\curl_7_54.exe','');
 DeleteService('UbarCalloutDriver');
 DeleteService('UbarPolicyProvider');
 StopService('icacl');
 DeleteService('icacl');
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 QuarantineFile('C:\Windows\System32\icacl.exe','');
 DeleteFile('C:\Windows\System32\icacl.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\wutphost','64');
 DeleteFile('C:\Users\Admin\AppData\Local\wutphost\wutphost.exe','32');
 DeleteFile('C:\Users\Admin\appdata\local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Users\Admin\appdata\local\wutphost\wutphost.exe','32');
 DeleteFile('C:\Users\Admin\appdata\local\searchgo\searchgo.exe','32');
ExecuteSysClean;
ExecuteRepair(21);
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O4 - HKCU\..\Run: [ycAutoLaunch_8805AEDEE4378A1CB9BB932D43532D08] C:\Users\Admin\AppData\Local\yc\Application\yc.exe /prefetch:5

Сделайте повторные логи по правилам

**Darth_Veider** · 02.09.2017, 21:47

Спасибо. Сделал всё по вашей инструкции.

- - - - -Добавлено - - - - -

И карантин тоже прислал.

**Darth_Veider** · 03.09.2017, 13:43

up!

**mike 1** · 03.09.2017, 15:40

Не поднимайте тему если не прошло более 48 часов!

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**Darth_Veider** · 03.09.2017, 16:39

Вот

**mike 1** · 03.09.2017, 19:17

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

**Darth_Veider** · 03.09.2017, 20:34

Вот.

**mike 1** · 03.09.2017, 20:56

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Darth_Veider** · 03.09.2017, 21:09

Вот.

**mike 1** · 04.09.2017, 17:21

Деинсталлируйте McAfee Security Scan Plus.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1799929096-1657664639-2823258705-1002\...\Run: [fppyppbvwd] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=374F98EA1675EDA8EADF00088F26DF15&utm_d=20170831" <==== ATTENTION
CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=374F98EA1675EDA8EADF00088F26DF15&utm_d=20170831
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=374F98EA1675EDA8EADF00088F26DF15&utm_d=20170831"
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\chbcakcafkeacjljckffjnmliiikgoag
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia
S3 McComponentHostService; C:\Program Files (x86)\McAfee Security Scan\3.11.500\McCHSvc.exe [272136 2017-01-19] (McAfee, Inc.)
2017-08-31 08:56 - 2017-09-02 21:28 - 000000000 ____D C:\Users\Admin\AppData\Roaming\curl
2017-08-31 08:54 - 2017-09-02 09:43 - 000000000 ____D C:\Users\Admin\AppData\Local\yc
2017-08-31 08:54 - 2017-08-31 08:54 - 000969024 _____ C:\WINDOWS\system32\icacl.exe
2017-07-21 22:34 - 2017-09-02 21:28 - 000000000 ____D C:\Users\Admin\AppData\Local\wutphost
2017-07-20 19:32 - 2017-08-13 09:16 - 000000000 ____D C:\Users\Все пользователи\Orbit
2017-07-20 19:32 - 2017-08-13 09:16 - 000000000 ____D C:\ProgramData\Orbit
Task: {04647784-6635-4580-BC79-28EF170F44AC} - \unityp -> No File <==== ATTENTION
Task: {52456851-33D8-4DFA-B721-93F42667A48E} - \MSI -> No File <==== ATTENTION
Task: {7B5EBBE8-7CF9-4EDD-87DE-43D7DA108B2E} - \curls -> No File <==== ATTENTION
Task: {A9AA381C-1C8D-46C9-818B-8768A6FEF29D} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {BCA0F6B6-4DCA-4B89-9C8B-671F7E0F936C} - \curl -> No File <==== ATTENTION
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**Darth_Veider** · 04.09.2017, 19:45

Вот

**mike 1** · 04.09.2017, 20:14

Что с проблемой?

**Darth_Veider** · 04.09.2017, 20:54

Проблемы все исчезли, работа наладилась. + раньше один вирус всё время блокировался и писало "360 Total security заблокировал wutpshot.exe" (вроде так). Уже пропала и сам система работает стабильнее. Спасибо огромное за помощь!

**mike 1** · 04.09.2017, 22:16

Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run

Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите отчет в вашей теме

**Darth_Veider** · 05.09.2017, 15:14

Я бы не хотел удалять эти утилиты, так как я думаю что мне опять понадобятся(если мне нужна будет снова ваша помощь). Однако если это необходимо то я могу удалить.

**mike 1** · 05.09.2017, 17:35

Лучше это сделать. К тому же, эти утилиты достаточно часто обновляются и вас все равно попросят их скачать, т.к. утилиты на компьютере уже будут неактуальны.

**Darth_Veider** · 06.09.2017, 14:21

Хорошо.

Лечение компьютера. (заявка № 215043)

Опции темы