Вирус. [UDS:DangerousObject.Multi.Generic
]
Вместе с приложение установилось множество преблуд (майл , спутник, трояны) Скачал касперский почистил, но проблемы остались , периодически выскакивает файл windowsup.exe(не хочет удалять, предлагает лечит , при этом тупо перезагружает комп)
Также периодически перезагружает win 10 ссылаясь на обнаружение ошибки .
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Владислав Цветков, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('fratgpcf'); StopService('prifass'); QuarantineFile('C:\Program Files (x86)\SvnSzzIscGyUC\mmTcToB.dll', ''); QuarantineFile('C:\Program Files (x86)\SystemHealer\HealerConsole.exe', ''); QuarantineFile('C:\Program Files (x86)\SystemHealer\SystemHealer.exe', ''); QuarantineFile('C:\Program Files\SystemaRev\RevServicesX\updaterev.exe', ''); QuarantineFile('C:\ProgramData\a1128b39ba0441c7ae6c3fe76f48f07e\HandlerExecution.exe', ''); QuarantineFile('C:\ProgramData\AppriabuS\Unolab.dll', ''); QuarantineFile('C:\ProgramData\Subair\Free-Core.reg', ''); QuarantineFile('C:\Users\rini\AppData\Local\39bc555b0a2541f49ea3448e00b8df81\HandlerExecution.exe', ''); QuarantineFile('C:\Users\rini\AppData\Local\88d80c293a084afbb0e5bf7c1fc810d1\HandlerExecution.exe', ''); QuarantineFile('C:\Users\rini\AppData\Local\c10021975a434878b5d7420f93cc1ff8\HandlerExecution.exe', ''); QuarantineFile('C:\Users\rini\AppData\Roaming\5d49703c101e42a088b924dbc36478ad\HandlerExecution.exe', ''); QuarantineFile('C:\Users\rini\AppData\Roaming\wget 1.16\wget.exe', ''); QuarantineFile('C:\Users\rini\AppData\Roaming\wget 1.16\wget_1_19_4.exe', ''); QuarantineFile('C:\Windows\System32\drivers\prifass.sys', ''); QuarantineFile('C:\Windows\system32\drivers\ybvtxiwe.sys', ''); DeleteFile('C:\Program Files (x86)\SvnSzzIscGyUC\mmTcToB.dll', ''); DeleteFile('C:\Program Files (x86)\SystemHealer\HealerConsole.exe', ''); DeleteFile('C:\Program Files (x86)\SystemHealer\SystemHealer.exe', ''); DeleteFile('C:\Program Files\SystemaRev\RevServicesX\updaterev.exe', ''); DeleteFile('C:\ProgramData\a1128b39ba0441c7ae6c3fe76f48f07e\HandlerExecution.exe', ''); DeleteFile('C:\ProgramData\AppriabuS\Unolab.dll', '64'); DeleteFile('C:\ProgramData\Subair\Free-Core.reg', ''); DeleteFile('C:\Users\rini\AppData\Local\39bc555b0a2541f49ea3448e00b8df81\HandlerExecution.exe', ''); DeleteFile('C:\Users\rini\AppData\Local\88d80c293a084afbb0e5bf7c1fc810d1\HandlerExecution.exe', ''); DeleteFile('C:\Users\rini\AppData\Local\c10021975a434878b5d7420f93cc1ff8\HandlerExecution.exe', ''); DeleteFile('C:\Users\rini\AppData\Roaming\5d49703c101e42a088b924dbc36478ad\HandlerExecution.exe', ''); DeleteFile('C:\Users\rini\AppData\Roaming\wget 1.16\wget.exe', ''); DeleteFile('C:\Users\rini\AppData\Roaming\wget 1.16\wget_1_19_4.exe', ''); DeleteFile('C:\Windows\System32\drivers\prifass.sys', ''); DeleteFile('C:\Windows\system32\drivers\ybvtxiwe.sys', ''); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_DB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HM" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_MX" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_NF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MainPM" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Lamfax" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "System Healer Delayed" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "System Healer Monitor" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TUZwhpCbnzWcBoUhWSI2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "update64" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wget" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wgets" /F', 0, 15000, true); DeleteService('fratgpcf'); DeleteService('prifass'); DeleteService('update64'); DeleteFileMask('c:\program files (x86)\svnszziscgyuc', '*', true); DeleteFileMask('c:\program files (x86)\systemhealer', '*', true); DeleteFileMask('c:\program files\systemarev\revservicesx', '*', true); DeleteFileMask('c:\programdata\a1128b39ba0441c7ae6c3fe76f48f07e', '*', true); DeleteFileMask('c:\programdata\appriabus', '*', true); DeleteFileMask('c:\users\rini\appdata\local\39bc555b0a2541f49ea3448e00b8df81', '*', true); DeleteFileMask('c:\users\rini\appdata\local\88d80c293a084afbb0e5bf7c1fc810d1', '*', true); DeleteFileMask('c:\users\rini\appdata\local\c10021975a434878b5d7420f93cc1ff8', '*', true); DeleteFileMask('c:\users\rini\appdata\roaming\5d49703c101e42a088b924dbc36478ad', '*', true); DeleteFileMask('c:\users\rini\appdata\roaming\wget 1.16', '*', true); DeleteDirectory('c:\program files (x86)\svnszziscgyuc'); DeleteDirectory('c:\program files (x86)\systemhealer'); DeleteDirectory('c:\program files\systemarev\revservicesx'); DeleteDirectory('c:\programdata\a1128b39ba0441c7ae6c3fe76f48f07e'); DeleteDirectory('c:\programdata\appriabus'); DeleteDirectory('c:\users\rini\appdata\local\39bc555b0a2541f49ea3448e00b8df81'); DeleteDirectory('c:\users\rini\appdata\local\88d80c293a084afbb0e5bf7c1fc810d1'); DeleteDirectory('c:\users\rini\appdata\local\c10021975a434878b5d7420f93cc1ff8'); DeleteDirectory('c:\users\rini\appdata\roaming\5d49703c101e42a088b924dbc36478ad'); DeleteDirectory('c:\users\rini\appdata\roaming\wget 1.16'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Сделайте новый лог Autologger.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YyIoeLP9N7ugn8-mbB1QQR_R4pDqRkmqMzEAtafvc-KWkMha8OxRequINRyl2wdS6jrq25JPKMlu-Cfi1FPKAED0an-cIkvCXyj358gVOpogj5HaouEFQ76UNuLSplS7-HBgB-gty1QxXN5LZah6 R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YyIoeLP9N7ugn8-mbB1QQR_R4pDqRkmqMzEAtafvc-KWkMha8OxRequINRyl2wdS6jrq25JPKMlu-Cfi1FPKAED0an-cIkvCXyj358gVOpogj5HaouEFQ76UNuLSplS7-HBgB-gty1QxXN5LZah6 R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YyIoeLP9N7ugn8-mbB1QQR_R4pDqRkmqMzEAtafvc-KWkMha8OxRequINRyl2wdS6jolBd3HBf87MXzrIrTri9rLFhi8kngAhenJ5ubL7ENMmGovg6sjIQl9YdbF4c90aywoXiTvltCk65Jl7hb1 R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YyIoeLP9N7ugn8-mbB1QQR_R4pDqRkmqMzEAtafvc-KWkMha8OxRequINRyl2wdS6jrq25JPKMlu-Cfi1FPKAED0an-cIkvCXyj358gVOpogj5HaouEFQ76UNuLSplS7-HBgB-gty1QxXN5LZah6 R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YyIoeLP9N7ugn8-mbB1QQR_R4pDqRkmqMzEAtafvc-KWkMha8OxRequINRyl2wdS6jrq25JPKMlu-Cfi1FPKAED0an-cIkvCXyj358gVOpogj5HaouEFQ76UNuLSplS7-HBgB-gty1QxXN5LZah6Nt3ipULvXd3g,,&q={searchTerms}
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
карантин прислал.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Без имени.jpg Вот это есть , касперский удаляет, он вновь появляется + выдает синий экран c грустным смайлом(win10) затем перезагружает, Когда писал это сообщение творилась дичь, менялся язык на английский , и писал текст.
И вот что еще выдает Без имениав.jpg
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Лог UVS много веси для форума, вот ссылка http://rgho.st/7cQCLDl69 или https://ru.files.fm/u/33guqq97#_Сообщение от Vvvyg
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE sreg delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBEQO0LOCWIXRZS2RCB6IYLXKBYIJEBC5YYIOELP9N7UGN8-MBB1QQR_R4PDQRKMQMZEATAFVC-KWKMHA8OXREQUINRYL2WDS6JRQ25JPKMLU-CFI1FPKAED0AN-CIKVCXYJ358GVOPOGJ5HAOUEFQ76UNULSPLS7-HBGB-GTY1QXXN5LZAH zoo %SystemDrive%\PROGRAM FILES (X86)\VFXYQASRZLGPJFTGWYR\GLDFMSU.DLL addsgn A7679B1928664D070E3C648364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D85D928906CCB491649C9BD9F6307595F4659214E91473D1E327C 32 Adware.Plugin.1596 [DrWeb] 7 chklst delvir deldir %SystemDrive%\PROGRAM FILES (X86)\VFXYQASRZLGPJFTGWYR zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.181\CHROME.DLL zoo %Sys32%\DRIVERS\YBVTXIWE.SYS delmz %Sys32%\DRIVERS\YBVTXIWE.SYS delref %Sys32%\DRIVERS\YBVTXIWE.SYS del %Sys32%\DRIVERS\YBVTXIWE.SYS delref %SystemDrive%\USERS\RINI\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI delref %SystemDrive%\USERS\RINI\\APPDATA\ROAMING\ACESTREAM\ENGINE\ACE_ENGINE.EXE delref %SystemDrive%\USERS\RINI\\APPDATA\ROAMING\ACESTREAM\PLAYER\ACE_PLAYER.EXE czoo areg
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
script.cmd не открывается. Буквально на пол секунды открывается окно, и все, нечего не происходит.
Запускаете через правую кнопку мыши Запуск от имени администратора)? Если и так не выйдет делайте, как описано ниже.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE sreg delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBEQO0LOCWIXRZS2RCB6IYLXKBYIJEBC5YYIOELP9N7UGN8-MBB1QQR_R4PDQRKMQMZEATAFVC-KWKMHA8OXREQUINRYL2WDS6JRQ25JPKMLU-CFI1FPKAED0AN-CIKVCXYJ358GVOPOGJ5HAOUEFQ76UNULSPLS7-HBGB-GTY1QXXN5LZAH zoo %SystemDrive%\PROGRAM FILES (X86)\VFXYQASRZLGPJFTGWYR\GLDFMSU.DLL addsgn A7679B1928664D070E3C648364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D85D928906CCB491649C9BD9F6307595F4659214E91473D1E327C 32 Adware.Plugin.1596 [DrWeb] 7 chklst delvir deldir %SystemDrive%\PROGRAM FILES (X86)\VFXYQASRZLGPJFTGWYR zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.181\CHROME.DLL zoo %Sys32%\DRIVERS\YBVTXIWE.SYS delmz %Sys32%\DRIVERS\YBVTXIWE.SYS delref %Sys32%\DRIVERS\YBVTXIWE.SYS del %Sys32%\DRIVERS\YBVTXIWE.SYS delref %SystemDrive%\USERS\RINI\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI delref %SystemDrive%\USERS\RINI\\APPDATA\ROAMING\ACESTREAM\ENGINE\ACE_ENGINE.EXE delref %SystemDrive%\USERS\RINI\\APPDATA\ROAMING\ACESTREAM\PLAYER\ACE_PLAYER.EXE czoo areg
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Vvvyg, карантин прислал
Справились, остались ещё проблемы?
Удалите бесполезный SpyHunter.
WBR,
Vadim
Без имени.png
вот что выбило ночью.
Ознакомьтесь со статьёй Так ли страшен контроль учетных записей (UAC)? и включите.Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Контроль включил.
Опять в системе этот гадский неубиваемый драйвер, от которого, я думал, избавились...
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] FF Plugin HKU\S-1-5-21-2089700972-1920833629-365355492-1001: @acestream.net/acestreamplugin,version=3.1.20.4 -> C:\Users\rini\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] R5 fratgpcf; <==== ATTENTION: Locked Service 2018-05-20 01:02 - 2018-05-20 01:02 - 000288304 ____H C:\Windows\system32\Drivers\ybvtxiwe.sys 2018-05-20 00:59 - 2018-05-20 02:27 - 000000000 ____D C:\Program Files (x86)\EPVqpVJyVSWU2 2018-05-20 00:59 - 2018-05-20 00:59 - 000000000 ____D C:\Program Files (x86)\VfXyqasRzlGpJFtgwyR 2018-05-20 00:59 - 2018-05-20 00:59 - 000000000 ____D C:\Program Files (x86)\NExnNAYCpUUn 2018-05-20 00:58 - 2018-05-20 03:55 - 000000000 ____D C:\Program Files (x86)\JAcqddADqIE 2018-05-20 00:58 - 2018-05-20 02:26 - 000000000 ____D C:\Program Files (x86)\KCGHGVOnU Task: {29E51BC4-0C7C-404B-88A1-F48C31A86D88} - \widfhost -> No File <==== ATTENTION Task: {88481866-7FD3-4D1A-968C-FC5968C53529} - \jbDyCmJOWCzWzi -> No File <==== ATTENTION Task: {9F0DD078-CCE7-4C47-A0A6-AC43A85649DD} - \Word Signal Buildings demo -> No File <==== ATTENTION Task: {C5757352-7AD1-4054-9C88-1AABDEE74BF9} - \RuvZlWnxKNkmGuM2 -> No File <==== ATTENTION Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
касперский по прежнему удаляет windowsup.exe
Сделайте ещё раз сканирование TDSSKiller, когда появится предупреждение о LockedFile.Multi.Generic - выберите не "Пропустить", а "Удалить".
Новый лог приложите.
После перезагрузки проверьте, будут ли ещё предупреждения от антивируса. Если да - сделайте новый лог Farbar Recovery Scan Tool.
WBR,
Vadim
вот
Уважаемый(ая) Владислав Цветков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
