На моем компьютере установилось вредоносное ПО, помогите удалить
На моем компьютере установилось вредоносное ПО, помогите удалить
Последний раз редактировалось Александр Омельченко; 10.09.2015 в 14:59.
Уважаемый(ая) Александр Омельченко, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\1e007d60-1441279108-d100-5aa3-485b3919415a\knskc6b3.tmp'); TerminateProcessByName('c:\users\Саша\appdata\local\kometa\kometaup.exe'); TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe'); TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe'); TerminateProcessByName('c:\users\Саша\appdata\local\gmsd_ua_025010027\upgmsd_ua_023010027.exe'); StopService('febudovu'); StopService('SSFK'); QuarantineFileF('c:\users\Саша\appdata\local\kometa', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\SFK', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\AnyProtectEx', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\RCP', '*', true, '', 0 , 0); QuarantineFileF('C:\Users\Саша\AppData\Roaming\mystartsearch', '*', true, '', 0 , 0); QuarantineFile('c:\program files (x86)\1e007d60-1441279108-d100-5aa3-485b3919415a\knskc6b3.tmp', ''); QuarantineFile('c:\users\Саша\appdata\local\kometa\kometaup.exe', ''); QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe', ''); QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', ''); QuarantineFile('c:\users\Саша\appdata\local\gmsd_ua_025010027\upgmsd_ua_023010027.exe', ''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', ''); QuarantineFile('C:\Program Files (x86)\RCP\systweakasp.exe', ''); QuarantineFile('C:\Users\Саша\AppData\Roaming\mystartsearch\UninstallManager.exe', ''); DeleteFile('c:\program files (x86)\1e007d60-1441279108-d100-5aa3-485b3919415a\knskc6b3.tmp', '32'); DeleteFile('c:\users\Саша\appdata\local\kometa\kometaup.exe', '32'); DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe', '32'); DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32'); DeleteFile('c:\users\Саша\appdata\local\gmsd_ua_025010027\upgmsd_ua_023010027.exe', '32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32'); DeleteFile('C:\Program Files (x86)\RCP\systweakasp.exe', '32'); DeleteFile('C:\Users\Саша\AppData\Roaming\mystartsearch\UninstallManager.exe', '32'); DeleteService('febudovu'); DeleteService('SSFK'); DeleteFileMask('c:\users\Саша\appdata\local\kometa', '*', true); DeleteFileMask('C:\Program Files (x86)\SFK', '*', true); DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true); DeleteFileMask('C:\Program Files (x86)\RCP', '*', true); DeleteFileMask('C:\Users\Саша\AppData\Roaming\mystartsearch', '*', true); DeleteFileMask('c:\users\Саша\appdata\local\gmsd_ua_025010027', '*', true); DeleteDirectory('c:\users\Саша\appdata\local\kometa'); DeleteDirectory('C:\Program Files (x86)\SFK'); DeleteDirectory('C:\Program Files (x86)\AnyProtectEx'); DeleteDirectory('C:\Program Files (x86)\RCP'); DeleteDirectory('c:\users\Саша\appdata\local\gmsd_ua_025010027'); DeleteDirectory('C:\Users\Саша\AppData\Roaming\mystartsearch'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ASP" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{A67857AE-AE14-4217-992B-2581AD08B667}" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ua_023010027.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
вот
Последний раз редактировалось Александр Омельченко; 10.09.2015 в 17:12.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Спасибо, проблема исчезла!)
AdwCleaner[C1].txt приложите всё же.
WBR,
Vadim
вот!
Хорошо, запустите AdwCleaner и нажмите Uninstall.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\anyprotectex\anyprotect.exe - not-a-virus:AdWare.Win32.Agent.hpxh
- c:\program files (x86)\sfk\sfkex.exe - not-a-virus:AdWare.Win32.ELEX.bq
- c:\program files (x86)\sfk\sfkex64.exe - not-a-virus:AdWare.Win64.Agent.be
- c:\program files (x86)\sfk\ssfk.exe - HEUR:Trojan.Win32.Generic
Уважаемый(ая) Александр Омельченко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.