Здравствуйте! Появляются папки и файлы в папке Temp, экзешники и не только, установились какие-то программы, которые снова появляются после удаления. Гугл Хром перестал запускаться, Опера постоянно автоматически переходит на разные сайты, в Диспетчере задач куча процессов с кривыми названиями. Пожалуйста, помогите!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Liya Myers, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdVg29qOO-7UYmKX-m1J01ZrDmPLVmktLoFdlVXxOjZLTI2v7CjxIvsaBnCNIJ4GRBCj42SWjNcEoNifjf_aggooWeS8eTLGLL8rhj8mRKeASqyThnfZoRJ-x4o1S8Tstev0BWmDk-uIdLyYwSI87NLF-j-K&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdVg29qOO-7UYmKX-m1J01ZrDmPLVmktLoFdlVXxOjZLTI2v7CjxIvsaBnCNIJ4GRBCj42SWjNcEoNifjf_aggooWeS8eTLGLL8rhj8mRKeASqyThnfZoRJ-x4o1S8Tstev0BWmDk-uIdLyYwSI87NLF-j-K&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdVg29qOO-7UYmKX-m1J01ZrDmPLVmktLoFdlVXxOjZLTI2v7CjxIvsaBnCNIJ4GRBz-aIr_UkDf1Q1RLMjKXfqXh4d7Dqs35fvsEXFKrFmJQPrLyyLsXasrySriW2OdGhvRYToJdGqY2uVtSnVQZax3AXTP R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdVg29qOO-7UYmKX-m1J01ZrDmPLVmktLoFdlVXxOjZLTI2v7CjxIvsaBnCNIJ4GRBCj42SWjNcEoNifjf_aggooWeS8eTLGLL8rhj8mRKeASqyThnfZoRJ-x4o1S8Tstev0BWmDk-uIdLyYwSI87NLF-j-K&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdVg29qOO-7UYmKX-m1J01ZrDmPLVmktLoFdlVXxOjZLTI2v7CjxIvsaBnCNIJ4GRBCj42SWjNcEoNifjf_aggooWeS8eTLGLL8rhj8mRKeASqyThnfZoRJ-x4o1S8Tstev0BWmDk-uIdLyYwSI87NLF-j-K&q={searchTerms} O4 - HKCU\..\Run: [1661132] = C:\Users\Lee\AppData\Roaming\sfrawdklqqa\aa0hnbsuphg.exe /VERYSILENT O4 - HKCU\..\Run: [5274991] = C:\Users\Lee\AppData\Roaming\shp2ts3fttk\de2gwcyfeqv.exe /VERYSILENT O4 - HKCU\..\Run: [6047265] = C:\Users\Lee\AppData\Roaming\mlk4ljpjvck\k2wjeokp01j.exe /VERYSILENT O4 - HKCU\..\Run: [6086659] = C:\Users\Lee\AppData\Roaming\h0vgu4cpfaa\owsdxtai3wj.exe /VERYSILENT O4 - HKCU\..\Run: [7095793] = C:\Users\Lee\AppData\Roaming\kn1tbtdss24\5aw0whrz14y.exe /VERYSILENT O4 - HKCU\..\Run: [7499651] = C:\Users\Lee\AppData\Roaming\iudqrhwcpez\l0zxqgahg2p.exe /VERYSILENT O4 - HKCU\..\Run: [7520852] = C:\Users\Lee\AppData\Roaming\v232gtfd0jl\fvbuc13nxi5.exe /VERYSILENT O4 - HKCU\..\Run: [7E2CAC84HNZGZUW] = C:\Program Files\6ZKVLCQL6F\6ZKVLCQL6.exe (file missing) O4 - HKCU\..\Run: [8924005] = C:\Users\Lee\AppData\Roaming\n0dhmgigb4l\roehmh0te4x.exe /VERYSILENT O4 - HKCU\..\Run: [DarkSmoke] = C:\Windows\rss\csrss.exe O4 - HKCU\..\Run: [EBAAYTID8Y1X8IV] = C:\Program Files\21CH30XYY3\SFQBJY90X.exe (file missing) O4 - HKCU\..\Run: [G4-7gSmkoC.exe] = C:\Program Files\Bonjour\XERTWACZ\G4-7gSmkoC.exe O4 - HKCU\..\Run: [M1H594A2FZIRE2Z] = C:\Program Files\WWBLZFJPK7\OA02YS4XW.exe (file missing) O4 - HKCU\..\Run: [Q80YUA2AXAKRR2X] = C:\Program Files (x86)\ShutdownTime\B8SZD.exe (file missing) O4 - HKCU\..\Run: [RockMelt Update] = C:\Users\Lee\AppData\Local\RockMelt\Update\RockMeltUpdate.exe /c O4 - HKCU\..\Run: [SKX3KJHGPGIJS4V] = C:\Program Files\THMH068PAM\THMH068PA.exe (file missing) O4 - HKLM\..\RunOnce: [OMEWPRODUCT_] = C:\Program Files\Bonjour\XERTWACZ\+2neH4'uIW.exe O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file) O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file) O22 - Task (.job): (Not scheduled) ZFvgHCXQLqXZUGp.job - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\cVpvxnNrNAGuQkug\EcmHERs.dll",#1 /adp HCUG5NBUG9XAUG2GAUG6PBUG2IBUG7FCUG4WBUG4TBUG0QAUG0FCUG7HCUG2ACUG6MBUG2RAUG0 /site_id 756 O22 - Task (.job): (Not scheduled) kliLCwTXYuNzVgC.job - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\WrAExWnUntzYMZqg\nWiiqQZ.dll",#1 /adp KAUG3NAUG5IAUG3TBUG8IBUG4WAUG8BCUG0FCUG2ECUG3UAUG1VBUG4BBUG2DCUG4GAUG6IBUG7 /site_id 756 O22 - Task (.job): (Not scheduled) mbMrtaHyHZVrxOz.job - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\AVoaxodYrMizORJQ\MdWNOGd.dll",#1 /adp MAUG1DAUG3SBUG2TAUG6VAUG5AAUG5PBUG2YAUG6PBUG9HCUG4DCUG2TAUG3ZAUG0UBUG7BBUG0 /site_id 754 O22 - Task (.job): (Ready) KDndQRhvXInxjgs.job - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\uezCIfrQjdkvpRgA\TpfCYQG.dll",#1 /adp QBUG4LBUG5PAUG3FAUG9WBUG5ZBUG0JAUG9XAUG4FCUG8OBUG5PAUG7ZAUG2LAUG4GAUG0SAUG0 /site_id 756 O22 - Task (.job): (Running) Test Task17.job - C:\ProgramData\hwwc\oatp.exe O22 - Task (.job): (disabled) bkuqnscFZylvqmexnhO.job - (no file) O22 - Task: KDndQRhvXInxjgs - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\uezCIfrQjdkvpRgA\TpfCYQG.dll",#1 /adp QBUG4LBUG5PAUG3FAUG9WBUG5ZBUG0JAUG9XAUG4FCUG8OBUG5PAUG7ZAUG2LAUG4GAUG0SAUG0 /site_id 756 O22 - Task: Opera scheduled Autoupdate 2796787680 - C:\Users\Lee\AppData\Roaming\Microsoft\Windows\gubgreai\wvdhshuc.exe O22 - Task: Test Task17 - C:\ProgramData\hwwc\oatp.exe O22 - Task: ZFvgHCXQLqXZUGp - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\cVpvxnNrNAGuQkug\EcmHERs.dll",#1 /adp HCUG5NBUG9XAUG2GAUG6PBUG2IBUG7FCUG4WBUG4TBUG0QAUG0FCUG7HCUG2ACUG6MBUG2RAUG0 /site_id 756 O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file) O22 - Task: \Microsoft\Windows\AAFF56502-9185-4D64-BD21-34F75315A4FA - C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\D114348F-CAFF-4F37-8CE9-255D6A45AA95.exe --getupdate-ppapi-plugin (file missing) O22 - Task: bkuqnscFZylvqmexnhO - C:\Users\Lee\AppData\Local\Temp\5oqy4e11.2zc\nuwpqicunde.exe /comm we /adp IAUG6XAUG8JBUG6BCUG1YAUG7MBUG9JAUG4HAUG7VBUG8JBUG7KBUG5ZAUG9PAUG3WAUG6ACUG9HCUG5JBUG4 O22 - Task: csrss - C:\Windows\rss\csrss.exe O22 - Task: isnTCxiiubcWC2 - C:\Windows\system32\wscript.exe "C:\ProgramData\FLUHMPFFUhaIYeVB\WimEpiD.wsf" O22 - Task: kliLCwTXYuNzVgC - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\WrAExWnUntzYMZqg\nWiiqQZ.dll",#1 /adp KAUG3NAUG5IAUG3TBUG8IBUG4WAUG8BCUG0FCUG2ECUG3UAUG1VBUG4BBUG2DCUG4GAUG6IBUG7 /site_id 756 O22 - Task: lJeggdxuwgsvqjY2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\ZmyMStEpU\ZVyvwq.dll",#1 O22 - Task: mbMrtaHyHZVrxOz - C:\Windows\system32\rundll32.exe "C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\AVoaxodYrMizORJQ\MdWNOGd.dll",#1 /adp MAUG1DAUG3SBUG2TAUG6VAUG5AAUG5PBUG2YAUG6PBUG9HCUG4DCUG2TAUG3ZAUG0UBUG7BBUG0 /site_id 754 O22 - Task: uMCVFMgBPnUfqKhAu2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\ymquwutTLCSFsEIPnQR\hMDJOoT.dll",#1 O22 - Task: vQFwkeKiyKCbWN - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\jZorInLLanAU2\PZiVTyDvRwWqV.dll",#1 O22 - Task: wXssEMehiSxnfiwuTsl2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\fgjCMzHQYvabC\MUHihtA.dll",#1 O23 - Service S2: NGYzZGNjY - C:\Program Files\NGYzZGNjY\M2Q4Yzg5.exe O23 - Service S2: ODhjODQ3YjNlZ - C:\Windows\system32\rundll32.exe C:\Windows\hqwkxqxku.hqwk ONRT
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('4f94fc9976000211'); StopService('4f94f95085abe391'); StopService('4f94c838e7761c91'); StopService('4F947C378448E472'); StopService('46e7dd3aa9a93a91'); StopService('46e7dd39b3702c91'); StopService('46e77e1ec946fb91'); StopService('NzM3ZWNjNWNk'); StopService('Polygen'); StopService('4F96FCC3F7F5D872'); StopService('NGYzZGNjY'); StopService('ODhjODQ3YjNlZ'); DeleteService('ODhjODQ3YjNlZ'); DeleteService('NGYzZGNjY'); DeleteService('4f94fc9976000211'); DeleteService('4F96FCC3F7F5D872'); DeleteService('4f94f95085abe391'); DeleteService('4f94c838e7761c91'); DeleteService('4F947C378448E472'); DeleteService('46e7dd3aa9a93a91'); DeleteService('46e7dd39b3702c91'); DeleteService('46e77e1ec946fb91'); DeleteService('NzM3ZWNjNWNk'); DeleteService('Polygen'); QuarantineFile('C:\Windows\TEMP\31fb222.sys',''); QuarantineFile('C:\Windows\TEMP\336d55d.sys',''); QuarantineFile('C:\Windows\TEMP\3c389eb.sys',''); QuarantineFile('C:\Windows\TEMP\3B02C21.sys',''); QuarantineFile('C:\Users\Lee\appdata\local\temp\csrss\cloudnet.exe',''); QuarantineFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\cVpvxnNrNAGuQkug\EcmHERs.dll',''); QuarantineFile('C:\Program Files (x86)\fgjCMzHQYvabC\MUHihtA.dll',''); QuarantineFile('C:\Program Files (x86)\jZorInLLanAU2\PZiVTyDvRwWqV.dll',''); QuarantineFile('C:\Program Files (x86)\ymquwutTLCSFsEIPnQR\hMDJOoT.dll',''); QuarantineFile('C:\ProgramData\hwwc\oatp.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\D114348F-CAFF-4F37-8CE9-255D6A45AA95.exe',''); QuarantineFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\AVoaxodYrMizORJQ\MdWNOGd.dll',''); QuarantineFile('C:\Program Files (x86)\ZmyMStEpU\ZVyvwq.dll',''); QuarantineFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\WrAExWnUntzYMZqg\nWiiqQZ.dll',''); QuarantineFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\uezCIfrQjdkvpRgA\TpfCYQG.dll',''); QuarantineFile('C:\ProgramData\FLUHMPFFUhaIYeVB\WimEpiD.wsf',''); QuarantineFile('C:\Users\Lee\AppData\Local\Temp\5oqy4e11.2zc\nuwpqicunde.exe',''); QuarantineFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe',''); QuarantineFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\Microsoft\Windows\gubgreai\wvdhshuc.exe',''); QuarantineFile('C:\Program Files\Bonjour\XERTWACZ\+2neH4uIW.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\AutoHot.exe',''); QuarantineFile('C:\Program Files\WWBLZFJPK7\OA02YS4XW.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\h0vgu4cpfaa\owsdxtai3wj.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\v232gtfd0jl\fvbuc13nxi5.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\mlk4ljpjvck\k2wjeokp01j.exe',''); QuarantineFile('C:\Program Files\THMH068PAM\THMH068PA.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\n0dhmgigb4l\roehmh0te4x.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\iudqrhwcpez\l0zxqgahg2p.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\sfrawdklqqa\aa0hnbsuphg.exe',''); QuarantineFile('C:\Program Files\21CH30XYY3\SFQBJY90X.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\kn1tbtdss24\5aw0whrz14y.exe',''); QuarantineFile('C:\Program Files\6ZKVLCQL6F\6ZKVLCQL6.exe',''); QuarantineFile('C:\Users\Lee\AppData\Roaming\shp2ts3fttk\de2gwcyfeqv.exe',''); QuarantineFile('C:\Program Files (x86)\ShutdownTime\B8SZD.exe',''); QuarantineFile('C:\Windows\rss\csrss.exe',''); QuarantineFile('C:\Program Files\Bonjour\XERTWACZ\G4-7gSmkoC.exe',''); QuarantineFile('C:\Windows\TEMP\5580298.sys',''); QuarantineFile('C:\Windows\TEMP\38f75e1.sys',''); QuarantineFile('C:\Windows\TEMP\10c9c87b.sys',''); QuarantineFile('C:\Windows\TEMP\44b7f64.sys',''); QuarantineFile('C:\ProgramData\Polygen\Polygen.exe',''); QuarantineFile('C:\Windows\hqwkxqxku.hqwk',''); QuarantineFile('C:\Program Files\NGYzZGNjY\M2Q4Yzg5.exe',''); QuarantineFile('C:\Windows\system32\drivers\NzM3ZWNjNWNk',''); DeleteFile('C:\Windows\system32\drivers\NzM3ZWNjNWNk','32'); DeleteFile('C:\Program Files\NGYzZGNjY\M2Q4Yzg5.exe','32'); DeleteFile('C:\Windows\hqwkxqxku.hqwk','32'); DeleteFile('C:\ProgramData\Polygen\Polygen.exe','32'); DeleteFile('C:\Windows\TEMP\31fb222.sys','32'); DeleteFile('C:\Windows\TEMP\3c389eb.sys','32'); DeleteFile('C:\Windows\TEMP\336d55d.sys','32'); DeleteFile('C:\Windows\TEMP\3B02C21.sys','32'); DeleteFile('C:\Windows\TEMP\44b7f64.sys','32'); DeleteFile('C:\Windows\TEMP\10c9c87b.sys','32'); DeleteFile('C:\Windows\TEMP\38f75e1.sys','32'); DeleteFile('C:\Windows\TEMP\5580298.sys','32'); DeleteFile('C:\Program Files\Bonjour\XERTWACZ\G4-7gSmkoC.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','G4-7gSmkoC.exe'); DeleteFile('C:\Windows\rss\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DarkSmoke'); DeleteFile('C:\Program Files (x86)\ShutdownTime\B8SZD.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Q80YUA2AXAKRR2X'); DeleteFile('C:\Users\Lee\AppData\Roaming\shp2ts3fttk\de2gwcyfeqv.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5274991'); DeleteFile('C:\Program Files\6ZKVLCQL6F\6ZKVLCQL6.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7E2CAC84HNZGZUW'); DeleteFile('C:\Users\Lee\AppData\Roaming\kn1tbtdss24\5aw0whrz14y.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7095793'); DeleteFile('C:\Program Files\21CH30XYY3\SFQBJY90X.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EBAAYTID8Y1X8IV'); DeleteFile('C:\Users\Lee\AppData\Roaming\sfrawdklqqa\aa0hnbsuphg.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1661132'); DeleteFile('C:\Users\Lee\AppData\Roaming\iudqrhwcpez\l0zxqgahg2p.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7499651'); DeleteFile('C:\Users\Lee\AppData\Roaming\n0dhmgigb4l\roehmh0te4x.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8924005'); DeleteFile('C:\Program Files\THMH068PAM\THMH068PA.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SKX3KJHGPGIJS4V'); DeleteFile('C:\Users\Lee\AppData\Roaming\mlk4ljpjvck\k2wjeokp01j.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6047265'); DeleteFile('C:\Users\Lee\AppData\Roaming\v232gtfd0jl\fvbuc13nxi5.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7520852'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6086659'); DeleteFile('C:\Users\Lee\AppData\Roaming\h0vgu4cpfaa\owsdxtai3wj.exe','32'); DeleteFile('C:\Program Files\WWBLZFJPK7\OA02YS4XW.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','M1H594A2FZIRE2Z'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','AutoHot'); DeleteFile('C:\Users\Lee\AppData\Roaming\AutoHot.exe','32'); DeleteFile('C:\Program Files\Bonjour\XERTWACZ\+2neH4uIW.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_'); DeleteFile('C:\Users\Lee\AppData\Roaming\Microsoft\Windows\gubgreai\wvdhshuc.exe','32'); DeleteFile('C:\Windows\system32\Tasks\0df3c455-b187-43dd-b00f-a2a81e39980b','64'); DeleteFile('C:\Windows\system32\Tasks\5eac9a62-35d7-45da-b1fb-97ba8a615ec2','64'); DeleteFile('C:\Windows\system32\Tasks\bkuqnscFZylvqmexnhO','64'); DeleteFile('C:\Users\Lee\AppData\Local\Temp\5oqy4e11.2zc\nuwpqicunde.exe','32'); DeleteFile('C:\Windows\system32\Tasks\csrss','64'); DeleteFile('C:\Windows\system32\Tasks\isnTCxiiubcWC2','64'); DeleteFile('C:\ProgramData\FLUHMPFFUhaIYeVB\WimEpiD.wsf','32'); DeleteFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\uezCIfrQjdkvpRgA\TpfCYQG.dll','32'); DeleteFile('C:\Windows\system32\Tasks\KDndQRhvXInxjgs','64'); DeleteFile('C:\Windows\system32\Tasks\kliLCwTXYuNzVgC','64'); DeleteFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\WrAExWnUntzYMZqg\nWiiqQZ.dll','32'); DeleteFile('C:\Windows\system32\Tasks\lJeggdxuwgsvqjY2','64'); DeleteFile('C:\Program Files (x86)\ZmyMStEpU\ZVyvwq.dll','32'); DeleteFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\AVoaxodYrMizORJQ\MdWNOGd.dll','32'); DeleteFile('C:\Windows\system32\Tasks\mbMrtaHyHZVrxOz','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AAFF56502-9185-4D64-BD21-34F75315A4FA','64'); DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\D114348F-CAFF-4F37-8CE9-255D6A45AA95.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Opera scheduled Autoupdate 2796787680','64'); DeleteFile('C:\ProgramData\hwwc\oatp.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Test Task17','64'); DeleteFile('C:\Windows\system32\Tasks\uMCVFMgBPnUfqKhAu2','64'); DeleteFile('C:\Program Files (x86)\ymquwutTLCSFsEIPnQR\hMDJOoT.dll','32'); DeleteFile('C:\Program Files (x86)\jZorInLLanAU2\PZiVTyDvRwWqV.dll','32'); DeleteFile('C:\Windows\system32\Tasks\vQFwkeKiyKCbWN','64'); DeleteFile('C:\Windows\system32\Tasks\wXssEMehiSxnfiwuTsl2','64'); DeleteFile('C:\Program Files (x86)\fgjCMzHQYvabC\MUHihtA.dll','32'); DeleteFile('C:\Users\Lee\AppData\Local\Temp\QWDLQEfXvxWAmuRrS\cVpvxnNrNAGuQkug\EcmHERs.dll','32'); DeleteFile('C:\Windows\system32\Tasks\ZFvgHCXQLqXZUGp','64'); DeleteFile('C:\Windows\system32\Tasks\{1A043F83-62C2-4031-937D-E3121640D8DF}','64'); DeleteFile('C:\Users\Lee\appdata\local\temp\csrss\cloudnet.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пофиксила, карантин не могу никак прислать, выдает ошибку - 413 Request Entity Too Large nginx/1.14.0, лог с Adw приложила к сообщению.
Могли бы карантин пожалуйста загрузить на файловое хранилище (например: яндекс диск) и прислать мне ссылку на карантин в ЛС (личным сообщением).
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отправила в личку ссылку. Отчет прикрепляю.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
