Постоянно вылетает реклама на казино и прочую хрень с интервалом в минуту
Проверку я делал без подключения к интернету, это не повлияет на сбор данных?
Постоянно вылетает реклама на казино и прочую хрень с интервалом в минуту
Проверку я делал без подключения к интернету, это не повлияет на сбор данных?
Последний раз редактировалось djreev; 22.01.2019 в 18:53.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) djreev, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe'); TerminateProcessByName('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe'); TerminateProcessByName('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe'); TerminateProcessByName('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); StopService('3CDC15C0E75A'); StopService('GFBYIKMJCK'); StopService('WinDefender'); StopService('Winmon'); StopService('WinmonFS'); StopService('WinmonProcessMonitor'); QuarantineFile('C:\Program Files (x86)\Camal\179975544.exe', ''); QuarantineFile('C:\Program Files (x86)\Camal\644173864.exe', ''); QuarantineFile('C:\Program Files (x86)\Camal\844848044.exe', ''); QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online', ''); QuarantineFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe', ''); QuarantineFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe', ''); QuarantineFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\ZCDO8h4Ebt.exe', ''); QuarantineFile('C:\Users\Olmega\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe', ''); QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\csrss\lsa64install.exe', ''); QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\Olmega\AppData\Local\Temp\GFBYIKMJCK.sys', ''); QuarantineFile('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); QuarantineFile('C:\Users\Olmega\AppData\Roaming\Kodobi\python\pythonw.exe', ''); QuarantineFile('C:\Windows\3CDC15C0E75A.sys', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); QuarantineFile('c:\windows\windefender.exe', ''); QuarantineFile('Companion\Application\WebCompanion.exe', ''); QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0); DeleteFile('C:\Program Files (x86)\Camal\179975544.exe', '64'); DeleteFile('C:\Program Files (x86)\Camal\644173864.exe', '64'); DeleteFile('C:\Program Files (x86)\Camal\844848044.exe', '64'); DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32'); DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online', ''); DeleteFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe', ''); DeleteFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\yi625cv06C.exe', ''); DeleteFile('C:\Program Files\SOUND FORGE\I867BP58S2LZ5WLTRK\ZCDO8h4Ebt.exe', '64'); DeleteFile('C:\Users\Olmega\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('c:\users\olmega\appdata\local\temp\csrss\lsa64.exe', ''); DeleteFile('C:\Users\Olmega\AppData\Local\Temp\csrss\lsa64install.exe', ''); DeleteFile('C:\Users\Olmega\AppData\Local\Temp\csrss\scheduled.exe', ''); DeleteFile('C:\Users\Olmega\AppData\Local\Temp\GFBYIKMJCK.sys', ''); DeleteFile('c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); DeleteFile('C:\Users\Olmega\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32'); DeleteFile('C:\Users\Olmega\AppData\Roaming\Kodobi\python\pythonw.exe', ''); DeleteFile('C:\Windows\3CDC15C0E75A.sys', ''); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys', ''); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); DeleteFile('C:\Windows\Tasks\Online Application V2G1.job', '64'); DeleteFile('C:\Windows\Tasks\Online Application V2G2.job', '64'); DeleteFile('C:\Windows\Tasks\Online Application V2G3.job', '64'); DeleteFile('C:\Windows\Tasks\Online Application V2G4.job', '64'); DeleteFile('C:\Windows\Tasks\Online Application V2G5.job', '64'); DeleteFile('C:\Windows\Tasks\Online Application V2G6.job', '64'); DeleteFile('C:\Windows\Tasks\Updater_Online_Application.job', '64'); DeleteFile('c:\windows\windefender.exe', ''); DeleteFile('Companion\Application\WebCompanion.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "csrss" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Kodobi" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Kodobi2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "lsa64" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G4" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Online Application V2G6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Updater_Online_Application" /F', 0, 15000, true); DeleteService('3CDC15C0E75A'); DeleteService('GFBYIKMJCK'); DeleteService('WinDefender'); DeleteService('Winmon'); DeleteService('WinmonFS'); DeleteService('WinmonProcessMonitor'); DeleteFileMask('c:\program files (x86)\lavasoft', '*', true); DeleteFileMask('c:\program files (x86)\microleaves', '*', true); DeleteFileMask('c:\program files\sound forge\i867bp58s2lz5wltrk', '*', true); DeleteFileMask('c:\users\olmega\appdata\local\temp\csrss', '*', true); DeleteFileMask('c:\users\olmega\appdata\roaming\epicnet inc', '*', true); DeleteFileMask('c:\windows\rss', '*', true); DeleteDirectory('c:\program files (x86)\lavasoft'); DeleteDirectory('c:\program files (x86)\microleaves'); DeleteDirectory('c:\program files\sound forge\i867bp58s2lz5wltrk'); DeleteDirectory('c:\users\olmega\appdata\local\temp\csrss'); DeleteDirectory('c:\users\olmega\appdata\roaming\epicnet inc'); DeleteDirectory('c:\windows\rss'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ColdThunder'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'bepujgaym4r'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'bxrblgb1je1'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'njgzt30x30k'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Хочу загрузить и прицепить файл DESKTOP-UFHE45D_2019-01-23_01-57-10_v4_1_2.7z но не достаточно места, не пойму как старые логи удалить чтобы загрузить новыеВложение 676119
вот скриншот
Последний раз редактировалось djreev; 23.01.2019 в 03:03.
"Мой кабинет" -> "Вложения", отметьте относящиеся к самым старым темам и нажмите кнопку "Удалить".
Или загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
WBR,
Vadim
прикрепил
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10477_754_190120 zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL delall %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL delref HTTP://SECUREDSEARCH.LAVASOFT.COM/RESULTS.PHP?PR=VMN&ID=WEBCOMPA&ENT=CH_WCYID10477_754_190120&Q={SEARCHTERMS} deldir %SystemDrive%\USERS\OLMEGA\APPDATA\ROAMING\YOUTUBEDOWNLOADER_UPD deldir %SystemDrive%\USERS\OLMEGA\APPDATA\ROAMING\YOUTUBEDOWNLOADER deltsk START.PYC zoo %SystemDrive%\PROGRAM FILES\SOUND FORGE\I867BP58S2LZ5WLTRK\YI625ÇV06C.EXE addsgn 0DC9775A116A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Trojan-Clicker.MSIL.Agent.gen [Kasper] 7 zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\ERRL6C38SY\ERRL.EXE addsgn 0DC9779A1C6A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Adware.WizzMonetize.1 [DrWeb] 7 zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\C90ZHX36PU\C90Z.EXE zoo %SystemDrive%\USERS\OLMEGA\APPDATA\LOCAL\TEMP\~NSU.TMP\UN_A.EXE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BF91D092B7F9137C65649DF822017CD33E7B62C8E3B066DC7723320 8 Adware.PBot [Malwarebytes] 7 chklst delvir deldir %SystemDrive%\PROGRAM FILES\SOUND FORGE\I867BP58S2LZ5WLTRK apply czoo deltmp restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
на скрине видно что программа зависает, я её запускал неоднократно, ситуация повторятся.
Файл ZOO_2019-01-24_17-37-50.zip в DropBox:
Последний раз редактировалось Vvvyg; 24.01.2019 в 20:41. Причина: Не нужно загружать карантин в тему!
Зачем же карантин, т. е. вирусы на дропбокс, да ещё и ссылку на всеобщее обозрение? Написал же:
2-й пункт тоже не выполнили. По логу выполнения скрипта ясно будет, что дальше делать.В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Отправил "карантин"
а прога виснет, я показал это на скриншоте, как быть?
Лог выполнения скрипта UVS, текстовый файл с именем из даты и времени выполнения прикрепите к сообщению. 3-й раз прошу...
Отключите на время Защитник, если будет виснуть - пробуйте в безопасном режиме.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 31
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\program files (x86)\microleaves\online application\version =
2.6.0\online-guardian.exe - not-a-virus:AdWare.Win32.Agent.kdin[/B=
]- c:\program files\sound forge\i867bp58s2lz5wltrk\zcdo8h4ebt.exe=
- UDS:DangerousObject.Multi.Generic- c:\users\olmega\appdata\local\temp\csrss\cloudnet. exe - =
HEUR:Trojan-Proxy.Win32.Glupteba.gen ( AVAST4: Win32:CrypterX-gen =
[Trj] )- c:\users\olmega\appdata\local\temp\csrss\lsa64inst all.exe -=
UDS:DangerousObject.Multi.Generic ( AVAST4: Win32:Malware-gen =
)- c:\users\olmega\appdata\local\temp\csrss\scheduled .exe - [B=
]Trojan-Downloader.Win32.Bandit.cqg ( AVAST4: Win32:Trojan-gen )- c:\users\olmega\appdata\local\temp\gfbyikmjck.sys - UDS:D=
angerousObject.Multi.Generic ( AVAST4: Win64:Malware-gen )- c:\users\olmega\appdata\roaming\epicnet inc\cloudnet\cloudn=
et.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen ( AVAST4: Win32:C=
rypterX-gen [Trj] )- c:\windows\rss\csrss.exe - Trojan-Downloader.Win32.Bandit.co=
u ( AVAST4: Win32:CrypterX-gen [Trj] )- c:\windows\system32\drivers\winmonfs.sys - VHO:Rootkit.Win6=
4.Agent.avn ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\system32\drivers\winmonprocessmonitor.s ys - VHO:=
Rootkit.Win64.Agent.ayv ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\system32\drivers\winmon.sys - VHO:Rootkit.Win64.=
Agent.avo ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\windefender.exe - UDS:Trojan-Dropper.Win32.Agent.s=
b ( AVAST4: Win32:Trojan-gen )- c:\windows\3cdc15c0e75a.sys - UDS:DangerousObject.Multi.Gener=
ic- \c90z.exe._06cc737a0f5d0631d2f4771cc1bb240a33ea310 7 - not-a-vi=
rus:AdWare.MSIL.Agent.aixb ( BitDefender: Gen:Variant.Barys.50280,=
AVAST4: Win32:Dropper-gen [Drp] )- \errl.exe._06cc737a0f5d0631d2f4771cc1bb240a33ea310 7 - not-a-vi=
rus:AdWare.MSIL.Agent.aixb ( BitDefender: Gen:Variant.Barys.50280,=
AVAST4: Win32:Dropper-gen [Drp] )- \ie_addon_dll.dll._8845700f12df281d7bed6b456a340ec 1f115bdaf - =
not-a-virus:VHO:AdWare.Win32.Machaer.o- \yi625cv06c.exe._d6f8205fe5ab776b0352438396b265836 cb01235 - HE=
UR:Trojan-Clicker.MSIL.Agent.gen ( AVAST4: Win32:Trojan-gen )
Уважаемый(ая) djreev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
