CollectionLog-2017.10.30-10.56.zipCollectionLog-2017.10.30-10.56.zipCollectionLog-2017.10.30-10.56.zipCollectionLog-2017.10.30-10.56.zipСкачал архив игры с пирацкого сайта.При его распаковке полезли вируса на весь комп. В браузере постоянно вылезает реклама, есть вируса и в некоторых файлах. Интернет начал работать с перебоями, плохо подргужая страницы. Можно спасти систему без переустановки или нет? Windows 10 стоит 64 разрядный. Проверку прошел архив прикрепляю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DimaKeb, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
HiJackThis (из каталога автологгера) профиксить
Код:O4 - HKCU\..\StartupApproved\Run: [iXQkh+66xP.exe] (2017/08/27)C:\Program Files\Uninstall Information\58TOP8UAN8LCYTIX4S78DO1M8E\iXQkh+66xP.exe O4 - HKCU\..\StartupApproved\Run: [setupsk] (2017/08/27)C:\Users\Dima\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\Dima\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" O4 - HKCU\..\StartupApproved\Run: [setupsk_upd] (2017/08/27)C:\Users\Dima\AppData\Roaming\setupsk_upd\python\pythonw.exe "C:\Users\Dima\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd" O20 - AppInit_DLLs: 0 O22 - Task (Disabled): e0e12b9be97f4981a83a851435fe83dc - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\WINDOWS\e0e12b9be97f4981a83a851435fe83dc.ps1" O22 - Task (Ready): FastDataX Task - C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE O22 - Task (Ready): f63471cf44408e192b1d12a41df7a59f - C:\WINDOWS\system32\sc.exe start f63471cf44408e192b1d12a41df7a59f O22 - Task (Ready): hdtask - C:\WINDOWS\system32\cmd.exe /c start http://toopix.biz/agame/play.html?shed^&s2^&adv=1 O22 - Task (Ready): setupsk - C:\Users\Dima\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\Dima\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" O22 - Task (Ready): setupsk_upd - C:\Users\Dima\AppData\Roaming\SETUPS~1\python\pythonw.exe "C:\Users\Dima\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd" O22 - Task (Ready): uuxHwpnMkRCRpJh2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\thzXuJvjU\3nwXG8v.dll",#1 O22 - Task (Ready): wupdate - C:\Users\Dima\AppData\Local\wupdate\wupdate.exe (file missing) O22 - Task (Ready): {7D0E7F47-0F09-7E0C-0811-080505781109} - C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgADsAOwAgADsAIAAgACAAIAAgADsAOwAgADsAOwAgADsAOwA7ADsAIAA7ACAAIAA7ACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcAcgBlAHMAcwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFYAZQByAGIAbwBzAGUAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABEAGUAYgB1AGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsACgBmAHUAbgBjAHQAaQBvAG4AIABJAFIARgBTAEsATABBACgAJABwACkAewAkAG4APQAiAFcAaQBuAGQAbwB3AFAAbwBzAGkAdABpAG8AbgAiADsAdAByAHkAewBOAGUAdwAtAEkAdABlAG0AIAAtAFAAYQB0AGgAIAAkAHAAfABPAHUAdAAtAE4AdQBsAGwAOwB9AGMAYQB0AGMAaAB7ADsAfQB0AHIAeQB7AE4AZQB3AC0ASQB0AGUAbQBQAHIAbwBwAGUAcgB0AHkAIAAtAFAAYQB0AGgAIAAkAHAAIAAtAE4AYQBtAGUAIAAkAG4AIAAtAFAAcgBvAHAAZQByAHQAeQBUAHkAcABlACAARABXA O22 - Task (Ready): {C2A530B4-499D-52C1-242F-83204E42F658} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\354eda3f\5f63ef50.dll" O22 - Task (Running): TnqpiRJoXWMCwN - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\GXZiGyYLSHyU2\Iwr5Ze3.dll",#1 O23 - Service R2: NetFramework Service - (DirectX11b) - C:\ProgramData\DirectX11b\System.exe O23 - Service S2: Windows Driver Foundation Framework - (MinerGate) - C:\ProgramData\Framework\System.exe O23 - Service S2: Windows Driver Framework - (Framework) - C:\ProgramData\WindowsSQL\System.exe
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SetServiceStart('UbarPolicyProvider', 4); StopService('f63471cf44408e192b1d12a41df7a59f'); TerminateProcessByName('c:\users\dima\appdata\roaming\setupsk\python\pythonw.exe'); DeleteService('f63471cf44408e192b1d12a41df7a59f'); QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE',''); QuarantineFile('C:\PROGRA~3\354eda3f\5f63ef50.dll',''); QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\Iwr5Ze3.dll',''); QuarantineFile('C:\Program Files (x86)\thzXuJvjU\3nwXG8v.dll',''); QuarantineFile('C:\Program Files\UBar\UbarService.exe',''); QuarantineFile('C:\Program Files\UBar\ubar.exe',''); QuarantineFile('C:\Program Files\Uninstall Information\58TOP8UAN8LCYTIX4S78DO1M8E\iXQkh+66xP.exe',''); QuarantineFile('C:\Program Files\f63471cf44408e192b1d12a41df7a59f\31781279c3642074ab68378f9a0b4c34.exe',''); QuarantineFile('C:\ProgramData\{7C27B564-CB8C-02CF-3C3A-87180A6BC2C3}\9226E0CB-258D-5760-8121-3E6CFDE2BC16.exe',''); QuarantineFile('C:\Users\Dima\AppData\Local\SearchGo\searchgo.exe',''); QuarantineFile('C:\Users\Dima\AppData\Local\wupdate\wupdate.exe',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\SETUPS~1\ml.py',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\SETUPS~1\python\pythonw.exe',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\setupsk\ml.py',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\setupsk\python\python34.dll',''); QuarantineFile('C:\Users\Dima\AppData\Roaming\setupsk\python\pythonw.exe',''); QuarantineFile('C:\Users\Dima\appdata\roaming\sysmon\sysmon.exe',''); QuarantineFile('c:\users\dima\appdata\roaming\setupsk\python\pythonw.exe',''); DeleteFile('C:\PROGRA~3\354eda3f\5f63ef50.dll','32'); DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\Iwr5Ze3.dll','32'); DeleteFile('C:\Program Files (x86)\thzXuJvjU\3nwXG8v.dll','32'); DeleteFile('C:\Program Files\Uninstall Information\58TOP8UAN8LCYTIX4S78DO1M8E\iXQkh+66xP.exe','32'); DeleteFile('C:\Program Files\f63471cf44408e192b1d12a41df7a59f\31781279c3642074ab68378f9a0b4c34.exe','32'); DeleteFile('C:\Users\Dima\AppData\Local\SearchGo\searchgo.exe','32'); DeleteFile('C:\Users\Dima\AppData\Local\wupdate\wupdate.exe','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\SETUPS~1\ml.py','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\SETUPS~1\python\pythonw.exe','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\setupsk\ml.py','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\setupsk\python\python34.dll','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\setupsk\python\pythonw.exe','32'); DeleteFile('C:\Users\Dima\appdata\roaming\sysmon\sysmon.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "FastDataX Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TnqpiRJoXWMCwN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "hdtask" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "uuxHwpnMkRCRpJh2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{7D0E7F47-0F09-7E0C-0811-080505781109}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{A784F548-102F-42E3-8F48-44EE0EDAE233}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{C2A530B4-499D-52C1-242F-83204E42F658}" /F', 0, 15000, true); DeleteFile('c:\users\dima\appdata\roaming\setupsk\python\pythonw.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iXQkh+66xP.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
