Здравствуйте, у меня компьютер сходит с ума, как только его включаю открывается интернет експло и сам включает рекламу, еще мой антивирусник Защитник Windows каждые пять минут находит троян, я его удалаю, а через пять минут снова выходит. И в браузере хром тоже творится какая то странность - сам переустанавливает настройки у хрома. Я не могу отправить вложения которое просканировал ваше приложение, потому что он весит больше допустимой нормы, а то есть 14610КБ
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Ирина Ф, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
загрузите тогда логи на файловое хранилище (yandex, google или onedrive) и предоставьте ссылку на скачивание.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
https://drive.google.com/file/d/1h0J...ew?usp=sharing - вот ссылка, у меня еще появился какой то новый вирус Behavior:Win32/Nergminer.A
Так зачем Вы всю папку с логами и программами загружалиНадо было только файл CollectionLog-2018.05.17-14.58.zip, как в правилах насписано.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDlLr0kIU1wIucXRsAzi6lTeHsL_ggKf976cIHCs5eYXlFZEV_i6VcZpB0uiF557R_GSQRxsUNKvX_o-82F8MfOs6pHcwkIGSuPYgiK1OEepMEO5m-O0gwh5l3UfabYLeNv8C5QWmq-DdsX R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDlLr0kIU1wIucXRsAzi6lTeHsL_ggKf976cIHCs5eYXlFZEV_i6VcZpB0uiF557R_GSQRxsUNKvX_o-82F8MfOs6pHcwkIGSuPYgiK1OEepMEO5m-O0gwh5l3UfabYLeNv8C5QWmq-DdsX R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mail.ru/cnt/10445?gp=855400 R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDlLr0kIU1wIucXRsAzi6lTeHsL_ggKf976cIHCs5eYXlFZEV_i6VcZpB0uiF557R_GSQRxsUNKvX_o-82F8MfOs6pHcwkIGSuPYgiK1OEepMEO5m-O0gwh5l3UfabYLeNv8C5QWmq-DdsX R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDlLr0kIU1wIucXRsAzi6lTeHsL_ggKf976cIHCs5eYXlFZEV_i6VcZpB0uiF557R_GSQRxsUNKvX_o-82F8MfOs6pHcwkIGSuPYgiK1OEepMEO5m-O0gwh5l3UfabYLeNv8C5QWmq-DdsXDoZK_oKKMX3-&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C} [URL] = http://go-search.ru/search?q={searchTerms} - GoSearch R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6A057FCC-16F6-4FC5-A120-99B133CA84F9%7D&gp=811041 - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDlLr0kIU1wIucXRsAzi6lTeHsL_ggKf976cIHCs5eYXlFZEV_i6VcZpB0uiF557R_GSQRxsUNKvX_o-82F8MfOs6pHcwkIGSuPYgiK1OEepMEO5m-O0gwh5l3UfabYLeNv8C5QWmq-DdsXDoZK_oKKMX3-&q={searchTerms} - Search the web F2 - HKLM\..\WinLogon: [UserInit] = C:\Users\Ирина\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe, O17 - HKLM\System\CCS\Services\Tcpip\..\{321AE80F-668B-41AE-9340-B4AFDB24DA36}: [NameServer] = 91.109.206.194 O17 - HKLM\System\CCS\Services\Tcpip\..\{321AE80F-668B-41AE-9340-B4AFDB24DA36}: [NameServer] = 98.158.96.96 O17 - HKLM\System\CCS\Services\Tcpip\..\{5aae2d88-cec0-11e5-84f5-806e6f6e6963}: [NameServer] = 91.109.206.194 O17 - HKLM\System\CCS\Services\Tcpip\..\{5aae2d88-cec0-11e5-84f5-806e6f6e6963}: [NameServer] = 98.158.96.96 O17 - HKLM\System\CCS\Services\Tcpip\..\{6d773f43-78af-4485-8333-38c74b123ea6}: [NameServer] = 91.109.206.194 O17 - HKLM\System\CCS\Services\Tcpip\..\{6d773f43-78af-4485-8333-38c74b123ea6}: [NameServer] = 98.158.96.96 O17 - HKLM\System\CCS\Services\Tcpip\..\{8ff7abe7-c695-4eb7-910d-38fab7abdbcb}: [NameServer] = 35.177.46.238 O17 - HKLM\System\CCS\Services\Tcpip\..\{8ff7abe7-c695-4eb7-910d-38fab7abdbcb}: [NameServer] = 46.101.28.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{8ff7abe7-c695-4eb7-910d-38fab7abdbcb}: [NameServer] = 82.202.226.203 O17 - HKLM\System\CCS\Services\Tcpip\..\{97fcae96-251a-4f13-b1dc-d9d12733fa92}: [NameServer] = 35.177.46.238 O17 - HKLM\System\CCS\Services\Tcpip\..\{97fcae96-251a-4f13-b1dc-d9d12733fa92}: [NameServer] = 46.101.28.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{97fcae96-251a-4f13-b1dc-d9d12733fa92}: [NameServer] = 82.202.226.203 O17 - HKLM\System\CCS\Services\Tcpip\..\{9897efa7-6321-44c0-b9fe-22fa7755448f}: [NameServer] = 91.109.206.194 O17 - HKLM\System\CCS\Services\Tcpip\..\{9897efa7-6321-44c0-b9fe-22fa7755448f}: [NameServer] = 98.158.96.96 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A4D934-67AE-41AC-8C0E-5BA3921D3D96}: [NameServer] = 91.109.206.194 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A4D934-67AE-41AC-8C0E-5BA3921D3D96}: [NameServer] = 98.158.96.96Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe'); TerminateProcessByName('c:\users\Ирина\appdata\local\yc\application\yc.exe'); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); StopService('SvcHost Service Host'); StopService('Updater.Mail.Ru'); QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', ''); QuarantineFile('C:\ProgramData\Utatity\Overbam.dll', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\3299603499_123.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\Kometa\Application\kometa.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\Kometa\StartButton\kometastartvx64.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\Mail.Ru\MailRuUpdater.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\sysnet\sysnet.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\3299603499.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\yc\Application\64.0.3282.171\chrome.dll', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\yc\Application\64.0.3282.171\chrome_child.dll', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\yc\Application\64.0.3282.171\chrome_elf.dll', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\yc\Application\64.0.3282.171\libegl.dll', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\yc\Application\64.0.3282.171\libglesv2.dll', ''); QuarantineFile('c:\users\Ирина\appdata\local\yc\application\yc.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\curl\wget.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\curl\wget_1_19_4.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\app.py', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\ml.py', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\SyManager\updater\python\pythonw.exe', ''); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', ''); QuarantineFile('C:\WINDOWS\System32\wsaudio.dll', ''); QuarantineFile('http:\eltugno.ru\f.exe', ''); QuarantineFileF('c:\users\ирина\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', ''); DeleteFile('C:\ProgramData\Utatity\Overbam.dll', '64'); DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\3299603499_123.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Local\Kometa\Application\kometa.exe', '32'); DeleteFile('C:\Users\Ирина\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '64'); DeleteFile('C:\Users\Ирина\AppData\Local\Mail.Ru\MailRuUpdater.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\Ирина\AppData\Local\sysnet\sysnet.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\3299603499.exe', ''); DeleteFile('c:\users\Ирина\appdata\local\yc\application\yc.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Local\yc\Application\yc.exe', '32'); DeleteFile('C:\Users\Ирина\AppData\Roaming\curl\curl.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\curl\wget.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\curl\wget_1_19_4.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\app.py', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\ml.py', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', ''); DeleteFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk'); DeleteFile('C:\Users\Ирина\AppData\Roaming\SyManager\updater\python\pythonw.exe', ''); DeleteFile('C:\Users\Ирина\Desktop\ВРЕМЯ ЛЕТИТ\не о чем\Практика Работа\Yandex.lnk'); DeleteFile('C:\Users\Ирина\Favorites\Links\Интернет.url'); DeleteFile('c:\windows\microsoft\svchost.exe', ''); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', ''); DeleteFile('C:\WINDOWS\system32\wsaudio.dll', ''); DeleteFile('C:\WINDOWS\System32\wsaudio.dll', '32'); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update S-1-8-22" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SyManager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wget" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wgets" /F', 0, 15000, true); DeleteService('SvcHost Service Host'); DeleteService('Updater.Mail.Ru'); DeleteFileMask('c:\program files (x86)\mail.ru', '*', true); DeleteFileMask('c:\programdata\utatity', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\hostinstaller', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\kometa', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\mail.ru', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\sysnet', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\systemmonitor2016', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\yc', '*', true); DeleteFileMask('c:\users\ирина\appdata\roaming\curl', '*', true); DeleteDirectory('c:\program files (x86)\mail.ru'); DeleteDirectory('c:\programdata\utatity'); DeleteDirectory('c:\users\ирина\appdata\local\hostinstaller'); DeleteDirectory('c:\users\ирина\appdata\local\kometa'); DeleteDirectory('c:\users\ирина\appdata\local\mail.ru'); DeleteDirectory('c:\users\ирина\appdata\local\sysnet'); DeleteDirectory('c:\users\ирина\appdata\local\systemmonitor2016'); DeleteDirectory('c:\users\ирина\appdata\local\yc'); DeleteDirectory('c:\users\ирина\appdata\roaming\curl'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaAutoLaunch_9D9DE2462F3E87238471655740945302'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rmoxmkjepb'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_3ACFAA00B08A2A48A74CCF94BD34F937'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(4); ExecuteRepair(21); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
