Помогите, пожалуйста. какие то вирусы, антивирусник постоянно пишет что они там:
\DEVICE\HARDDISKVOLUME4\WINDOWS\SYSTEM32\SVCHOST.E XE
что то поймал
Помогите, пожалуйста. какие то вирусы, антивирусник постоянно пишет что они там:
\DEVICE\HARDDISKVOLUME4\WINDOWS\SYSTEM32\SVCHOST.E XE
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ТЮрий, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Удалите программу Аудио и видео скачивание.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\Юрий\appdata\roaming\youtubedownloader\python\python.exe'); QuarantineFile('C:\Program Files (x86)\BvbhSZLyqCrsC\YYycaGm.dll', ''); QuarantineFile('C:\Program Files (x86)\KTxhztjwU\rEVnmH.dll', ''); QuarantineFile('C:\Program Files (x86)\UoZoIgkuCKdU2\qrSECVZnnmPHz.dll', ''); QuarantineFile('C:\Program Files (x86)\yCQMrlJAErjPGpRjulR\xUxXgbf.dll', ''); QuarantineFile('C:\ProgramData\WjIOjGvJCfODeXVB\suUUhYl.wsf', ''); QuarantineFile('C:\Users\Юрий\AppData\Local\Temp\a4939ec334dd42bab7657986afacc9bb\UVGNZFABLB.exe', ''); QuarantineFile('G:\Ywivw\Vhza\EttHexe\Psgep\Xiqt\e4939ig334hh42fef7657986ejegg9ff\YZKRDJEFPF.ibi', ''); QuarantineFile('G:\Ywivw\Vhza\EttHexe\Psgep\Xiqt\f60gf16694h54911fi0j54e5043791he\GCEFORHCTME.ibi', ''); DeleteFile('"C:\Windows\Yyqdi.exe" /q /i http://refreshnerer1309rb.info/wokfdL7J.8Iu', ''); DeleteFile('C:\Program Files (x86)\AZEULx.exe', ''); DeleteFile('C:\Program Files (x86)\BvbhSZLyqCrsC\YYycaGm.dll', ''); DeleteFile('C:\Program Files (x86)\KTxhztjwU\rEVnmH.dll', ''); DeleteFile('C:\Program Files (x86)\UoZoIgkuCKdU2\qrSECVZnnmPHz.dll', ''); DeleteFile('C:\Program Files (x86)\yCQMrlJAErjPGpRjulR\xUxXgbf.dll', ''); DeleteFile('C:\ProgramData\WjIOjGvJCfODeXVB\suUUhYl.wsf', ''); DeleteFile('C:\Users\Юрий\AppData\Local\Temp\a4939ec334dd42bab7657986afacc9bb\UVGNZFABLB.exe', ''); DeleteFile('c:\users\Юрий\appdata\roaming\youtubedownloader\python\python.exe', ''); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader\python\python3.dll', ''); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader\python\python37.dll', ''); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', ''); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '32'); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', ''); DeleteFile('C:\Users\Юрий\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '32'); DeleteFile('G:\Ywivw\Vhza\EttHexe\Psgep\Xiqt\e4939ig334hh42fef7657986ejegg9ff\YZKRDJEFPF.ibi', ''); DeleteFile('G:\Ywivw\Vhza\EttHexe\Psgep\Xiqt\f60gf16694h54911fi0j54e5043791he\GCEFORHCTME.ibi', ''); ExecuteFile('schtasks.exe', '/delete /TN "{03BF1A4B-BCAD-9140-F493-2AD103C37E50}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{676BEBE5-C925-4664-B8B7-C98C80A0C292}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "DhLAWZsHfQsZBWkdQ2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_OI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "hYPwlYRCmhawMCp2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "pQVZvbQbakOUK2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "qAYfjnTMJZeKjBNGsRT2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "vsqrvYZkOOVdGo" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "YoutubeDownloader" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "YoutubeDownloader_upd" /F', 0, 15000, true); DeleteFileMask('c:\program files (x86)\bvbhszlyqcrsc', '*', true); DeleteFileMask('c:\program files (x86)\ktxhztjwu', '*', true); DeleteFileMask('c:\program files (x86)\uozoigkuckdu2', '*', true); DeleteFileMask('c:\program files (x86)\ycqmrljaerjpgprjulr', '*', true); DeleteFileMask('c:\programdata\wjiojgvjcfodexvb', '*', true); DeleteFileMask('g:\ywivw\vhza\etthexe\psgep\xiqt\e4939ig334hh42fef7657986ejegg9ff', '*', true); DeleteDirectory('c:\program files (x86)\bvbhszlyqcrsc'); DeleteDirectory('c:\program files (x86)\ktxhztjwu'); DeleteDirectory('c:\program files (x86)\uozoigkuckdu2'); DeleteDirectory('c:\program files (x86)\ycqmrljaerjpgprjulr'); DeleteDirectory('c:\programdata\wjiojgvjcfodexvb'); DeleteDirectory('g:\ywivw\vhza\etthexe\psgep\xiqt\e4939ig334hh42fef7657986ejegg9ff'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(2); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог такой версией Autologger.
Сделайте лог Malwarebytes AdwCleaner.
Последний раз редактировалось Vvvyg; 23.09.2018 в 14:38.
WBR,
Vadim
не получается выполнить скрипт т.к. когда нажимаю запустить пишет ошибка в позиции 50 16
Поправил, выполняйте.
WBR,
Vadim
Карантин сделанный Autologger. прикрепил - отправил. А куда прикрепить файл сделанный Malwarebytes AdwCleaner. ?
Новый лог autologger и лог AdwCleaner прикрепите к сообщению, как прочие логи. А карантин - отправьте в карантин. Перечитайте моё сообщение.
WBR,
Vadim
Всё, нашел!
- - - - -Добавлено - - - - -
Вот кажется теперь всё правильно сделал?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Всё, сделал!
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] FF Extension: (No Name) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-09-21] [not signed] CHR HKLM-x32\...\Chrome\Extension: [bfdlbgbpgjichdjjmkdcpagfggicjfom] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [2014-09-20] CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Tampermonkey) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-06-03] OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\egmfaijlgimjnjgblmkhfpalbfkeocii [2018-09-21] OPR Extension: (Rutube) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\pfmlgdpgagephflfijfmhjckammbifgk [2018-06-03] Folder: C:\Windows\jkshdkjwfe 2018-09-23 15:29 - 2018-09-23 17:12 - 000000000 ____D C:\Windows\jkshdkjwfe 2018-09-21 10:20 - 2018-09-21 10:55 - 000000000 ____D C:\Users\Юрий\AppData\Local\WhiteClick 2018-09-21 10:19 - 2018-09-21 10:41 - 000000000 ____D C:\Users\Юрий\AppData\Roaming\YoutubeDownloader_upd 2018-09-21 10:19 - 2018-09-21 10:41 - 000000000 ____D C:\Users\Юрий\AppData\Roaming\YoutubeDownloader 2018-09-21 10:19 - 2013-08-22 07:56 - 000055808 ____N (Microsoft Corporation) C:\Windows\Yyqdi.exe 2018-09-21 10:19 - 2013-08-22 07:56 - 000055808 ____N (Microsoft Corporation) C:\Program Files (x86)\AZEULx.exe 2018-09-21 10:19 - 2013-08-22 07:39 - 000192512 ____N (Microsoft Corporation) C:\Windows\SysWOW64\AIOaDiIIDa.exe 2018-09-19 11:57 - 2018-09-19 11:57 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign8809db4021bc7b00 2018-09-19 11:54 - 2018-09-19 11:54 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsignab849e68a7e27d6e 2018-09-17 12:16 - 2018-09-17 12:16 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign78cfb677b6e2b762 2018-09-17 12:13 - 2018-09-17 12:13 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign5aa183adbedab1ef 2018-09-06 15:23 - 2018-09-06 15:23 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign0b43e67980d1c24a 2018-09-06 15:17 - 2018-09-06 15:17 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsigne77eea8550034be3 2018-09-03 11:34 - 2018-09-03 11:34 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign5b8b81ab7e6a1d8e 2018-09-03 11:28 - 2018-09-03 11:28 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign395e4136e5d0d7d1 2018-09-02 12:22 - 2018-09-02 12:22 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsignb0b49589ff4d6703 2018-09-02 12:18 - 2018-09-02 12:18 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsignd80c934407db3b7a 2018-08-25 11:43 - 2018-08-25 11:43 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsigna9df1058f2e0749a 2018-08-25 11:43 - 2018-08-25 11:43 - 000000000 ____D C:\Users\Юрий\AppData\Local\Tempzxpsign7ff303b8ab8cb323 CustomCLSID: HKU\S-1-5-21-553171978-2507984188-1912726794-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath Task: {808F7A25-3F31-4C10-974D-CE34936415E5} - \GoForFiles Installer Starter -> No File <==== ATTENTION AlternateDataStreams: C:\Windows\system32\msln.exe:d1f90f8163e7c681b5dcfe8e76035eac [1490] AlternateDataStreams: C:\ProgramData\TEMP:DE406C3E [126] HKU\S-1-5-21-553171978-2507984188-1912726794-1001\...\StartupApproved\Run: => "" HKU\S-1-5-21-553171978-2507984188-1912726794-1001\...\StartupApproved\Run: => "YoutubeDownloader" HKU\S-1-5-21-553171978-2507984188-1912726794-1001\...\StartupApproved\Run: => "YoutubeDownloader_upd" FirewallRules: [{D42F1A75-D5D3-4DD3-8A3E-F902B4917D8F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{60961DBE-9CD7-456B-A228-092B02BD296C}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{62D10A91-A694-4021-B872-BAE1A6731E29}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{BFECE565-C440-4D38-A382-5B1385EE092E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{7C00C271-3880-4511-8FA5-9A58A3C063D1}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{2F8D6277-B9FC-454C-977E-6627FEF9398D}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{4B4BF32A-5EF0-4EC9-A5B6-8F0CF16631D0}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{00AD49E9-12D5-48F8-8395-BFB8BFECC44E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{6F32EA88-7D76-4328-9097-0CA4BB013A16}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{8D71C6E5-A392-46C0-B239-BCFFB8C4D15C}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{7E3F48D4-638D-47D3-8A49-43B2501E668E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{34842A85-D418-4C70-A8A1-B7AC6931EC7A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E0A9BD19-6A59-498E-86B4-20C878832CF9}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{43EFD338-986D-42FF-A554-98E17A21E3A4}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{3CDF9EDB-D519-41BC-B4FF-F1A0027EB25A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{3BA26F21-5196-4F9C-837C-F3143676A85B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{ED220201-4853-4DCB-A795-522F0D7C6F34}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{AAFC03CE-0D50-40C0-8080-206552C26F22}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{3F67809C-879D-4F2E-81FA-59B6438E354F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E632AF9F-DCC5-4ABF-B7C9-D3D3B40E92AD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A434E3AE-68CF-4F9E-8656-5C3B5CEAFE94}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{B616912D-DF79-4585-932A-F23ACD2333E3}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{829CC669-7C0A-4247-8EF3-CEEB3AC68611}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{925D9D19-B9BC-4B68-97B5-BAF1A786BCB0}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{882BAF8F-E6BA-4ABA-9D11-6CEDB686704F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{6052CAD2-7882-4E88-9D62-619821FE2ED1}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{724F704A-94A4-4E0A-AF52-5FF7075DA7C9}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{B0C2810E-5A24-45BC-B099-D63E1AD9B63A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DB64DDB8-AC63-4F1D-9434-562524748DB6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{D7E1E3C3-2DB6-43BE-B91D-2B9889C03CE4}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{42917413-B82C-4615-BDA5-2842FDD18837}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{FEFE970A-AC91-4D7F-85BD-C55AE3438DD9}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{C9341346-F7EF-40EC-83CA-9C5ACC5B33BC}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{62033C59-5341-462D-95EB-D876CA83A4FA}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{F3A59BB0-362A-4264-BF9C-37D97AD02C8D}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{BA2D2AFF-AB5A-4752-9C66-3EF7779FEF96}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{C7D487B0-36C1-4ED1-9961-77E6C06B833F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{5A3390E0-0EC1-49A1-A2A4-BC71C28F3675}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{9252B3FD-F880-4F28-BC7E-86B59E2E1C5B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{1BA8CEC7-7144-4512-BF20-1F525582A8D6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{9F41D617-1216-44FE-B656-14E3B71F6B82}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{66691603-D802-4E58-9961-72B6D1A104A0}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{C1DEFD4C-8670-4F48-AF78-839D16B0E57A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{CACD549E-C660-4832-BCFD-D3247A64336C}] => (Allow) C:\Windows\SysWOW64\svchost.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Всё разобрался, всё сделал, файл прикрепил. Кажется проблемы больше нет.....
Последний раз редактировалось ТЮрий; 23.09.2018 в 22:55.
Там, где у Вас программа, в папке загрузок. Запустите FRST64.EXE, как fixlist.txt сохраните, и нажмите Fix.
WBR,
Vadim
Блин, всё отлично! спасибо Вам большое, за то что вы помогаете людям, да ещё и так быстро!
Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ТЮрий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
