Блокируется доступ к некоторым URL, в браузере вылезает сообщение о сертификатах. часто приложения "не отвечают" по 20-30 секунд. также есть подозрение на кражу паролей. Вчера без моего ведома в ВК добавился человек.
Блокируется доступ к некоторым URL, в браузере вылезает сообщение о сертификатах. часто приложения "не отвечают" по 20-30 секунд. также есть подозрение на кражу паролей. Вчера без моего ведома в ВК добавился человек.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) andain86, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\adobe flash player\adobe.exe',''); QuarantineFile('C:\Windows\ehome\mcupdate',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fef6.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe0b.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fc40.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe06.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fdd0.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa41.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe6c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fb45.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd8d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe18.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe4d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe94.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd44.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe4a.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe49.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd0e.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe67.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe03.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa6f.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3feb2.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3f7cf.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fcbf.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fcc4.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe1a.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fbd7.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe79.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe07.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fc1c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fb5d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe1c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd8b.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fed0.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe22.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\~tmp3351610602878814480.tmp',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\bpqnt.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3feb6.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa40.exe',''); QuarantineFile('C:\Users\andain\AppData\Roaming\Okvi\wora.exe',''); DeleteFile('C:\Users\andain\AppData\Roaming\Okvi\wora.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa40.exe','32'); DeleteFile('C:\Windows\system32\Tasks\03rw6ld0bf.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3feb6.exe','32'); DeleteFile('C:\Windows\system32\Tasks\1bzbqg.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\bpqnt.exe','32'); DeleteFile('C:\Windows\system32\Tasks\48ac4.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\~tmp3351610602878814480.tmp','32'); DeleteFile('C:\Windows\system32\Tasks\4zk0jrl.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe22.exe','32'); DeleteFile('C:\Windows\system32\Tasks\5hcge.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fed0.exe','32'); DeleteFile('C:\Windows\system32\Tasks\6gls.job','64'); DeleteFile('C:\Windows\system32\Tasks\8zt68itsxk.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd8b.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe1c.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ba2wby.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fb5d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\bz1mwofvow.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fc1c.exe','32'); DeleteFile('C:\Windows\system32\Tasks\clzh83.job','64'); DeleteFile('C:\Windows\system32\Tasks\coyjzw.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe07.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe79.exe','32'); DeleteFile('C:\Windows\system32\Tasks\d1td71xlem.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fbd7.exe','32'); DeleteFile('C:\Windows\system32\Tasks\dixk.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe1a.exe','32'); DeleteFile('C:\Windows\system32\Tasks\dv9d5z0bn.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fcc4.exe','32'); DeleteFile('C:\Windows\system32\Tasks\em9z0kl.job','64'); DeleteFile('C:\Windows\system32\Tasks\gth6x57i.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fcbf.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3f7cf.exe','32'); DeleteFile('C:\Windows\system32\Tasks\h1q6v8619.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3feb2.exe','32'); DeleteFile('C:\Windows\system32\Tasks\j4wka66nh.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa6f.exe','32'); DeleteFile('C:\Windows\system32\Tasks\j93h.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe03.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kk011t.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe67.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kzy0nd5f.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd0e.exe','32'); DeleteFile('C:\Windows\system32\Tasks\lx3qk63.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe49.exe','32'); DeleteFile('C:\Windows\system32\Tasks\mkofqr.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe4a.exe','32'); DeleteFile('C:\Windows\system32\Tasks\mrp56qw.job','64'); DeleteFile('C:\Windows\system32\Tasks\mz8qsu.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd44.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nf5h7.job','64'); DeleteFile('C:\Windows\system32\Tasks\p7jrx8zkzj.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe94.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe4d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\t4x1xjb.job','64'); DeleteFile('C:\Windows\system32\Tasks\t5kpk06.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe18.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd8d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\u98awjqpj.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fb45.exe','32'); DeleteFile('C:\Windows\system32\Tasks\viyb1.job','64'); DeleteFile('C:\Windows\system32\Tasks\vrxj59h.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe6c.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa41.exe','32'); DeleteFile('C:\Windows\system32\Tasks\w085r53.job','64'); DeleteFile('C:\Windows\system32\Tasks\wxaugc7bqw.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fdd0.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe06.exe','32'); DeleteFile('C:\Windows\system32\Tasks\xndbjxovg.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fc40.exe','32'); DeleteFile('C:\Windows\system32\Tasks\y7l7klbj.job','64'); DeleteFile('C:\Windows\system32\Tasks\zqoyu8uyu.job','64'); DeleteFile('C:\Windows\system32\Tasks\03rw6ld0bf','64'); DeleteFile('C:\Windows\system32\Tasks\48ac4','64'); DeleteFile('C:\Windows\system32\Tasks\4zk0jrl','64'); DeleteFile('C:\Windows\system32\Tasks\5hcge','64'); DeleteFile('C:\Windows\system32\Tasks\5j9g2','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fef6.exe','32'); DeleteFile('C:\Windows\system32\Tasks\6gls','64'); DeleteFile('C:\Windows\system32\Tasks\8zt68itsxk','64'); DeleteFile('C:\Windows\system32\Tasks\ba2wby','64'); DeleteFile('C:\Windows\system32\Tasks\bz1mwofvow','64'); DeleteFile('C:\Windows\system32\Tasks\coyjzw','64'); DeleteFile('C:\Windows\system32\Tasks\d1td71xlem','64'); DeleteFile('C:\Windows\system32\Tasks\dixk','64'); DeleteFile('C:\Windows\system32\Tasks\dv9d5z0bn','64'); DeleteFile('C:\Windows\system32\Tasks\gth6x57i','64'); DeleteFile('C:\Windows\system32\Tasks\h1q6v8619','64'); DeleteFile('C:\Windows\system32\Tasks\j4wka66nh','64'); DeleteFile('C:\Windows\system32\Tasks\j93h','64'); DeleteFile('C:\Windows\system32\Tasks\kzy0nd5f','64'); DeleteFile('C:\Windows\system32\Tasks\lx3qk63','64'); DeleteFile('C:\Windows\ehome\mcupdate','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\mcupdate','64'); DeleteFile('C:\Windows\system32\Tasks\mkofqr','64'); DeleteFile('C:\Windows\system32\Tasks\mrp56qw','64'); DeleteFile('C:\Windows\system32\Tasks\mz8qsu','64'); DeleteFile('C:\Windows\system32\Tasks\nf5h7','64'); DeleteFile('C:\Windows\system32\Tasks\p7jrx8zkzj','64'); DeleteFile('C:\Windows\system32\Tasks\t4x1xjb','64'); DeleteFile('C:\Windows\system32\Tasks\t5kpk06','64'); DeleteFile('C:\Windows\system32\Tasks\viyb1','64'); DeleteFile('C:\Windows\system32\Tasks\vrxj59h','64'); DeleteFile('C:\Windows\system32\Tasks\wxaugc7bqw','64'); DeleteFile('C:\Windows\system32\Tasks\xndbjxovg','64'); DeleteFile('C:\Windows\system32\Tasks\y7l7klbj','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe0b.exe','32'); DeleteFile('C:\Windows\system32\Tasks\zqoyu8uyu','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{C2446123-AA37-901A-E7E0-E073EE07FA2D}'); ExecuteWizard('SCU',2,2,true); ExecuteWizard('TSW',2,2,true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
сделал
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\adobe flash player\adobe.exe',''); QuarantineFile('C:\Windows\ehome\mcupdate',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fef6.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe0b.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fc40.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe06.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fdd0.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa41.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe6c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fb45.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd8d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe18.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe4d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe94.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd44.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe4a.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe49.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd0e.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe67.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe03.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa6f.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3feb2.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3f7cf.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fcbf.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fcc4.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe1a.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fbd7.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe79.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe07.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fc1c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fb5d.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe1c.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fd8b.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fed0.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fe22.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\~tmp3351610602878814480.tmp',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\bpqnt.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3feb6.exe',''); QuarantineFile('C:\Users\andain\AppData\Local\Temp\3fa40.exe',''); QuarantineFile('C:\Users\andain\AppData\Roaming\Okvi\wora.exe',''); DeleteFile('C:\Users\andain\AppData\Roaming\Okvi\wora.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa40.exe','32'); DeleteFile('C:\Windows\system32\Tasks\03rw6ld0bf.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3feb6.exe','32'); DeleteFile('C:\Windows\system32\Tasks\1bzbqg.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\bpqnt.exe','32'); DeleteFile('C:\Windows\system32\Tasks\48ac4.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\~tmp3351610602878814480.tmp','32'); DeleteFile('C:\Windows\system32\Tasks\4zk0jrl.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe22.exe','32'); DeleteFile('C:\Windows\system32\Tasks\5hcge.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fed0.exe','32'); DeleteFile('C:\Windows\system32\Tasks\6gls.job','64'); DeleteFile('C:\Windows\system32\Tasks\8zt68itsxk.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd8b.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe1c.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ba2wby.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fb5d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\bz1mwofvow.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fc1c.exe','32'); DeleteFile('C:\Windows\system32\Tasks\clzh83.job','64'); DeleteFile('C:\Windows\system32\Tasks\coyjzw.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe07.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe79.exe','32'); DeleteFile('C:\Windows\system32\Tasks\d1td71xlem.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fbd7.exe','32'); DeleteFile('C:\Windows\system32\Tasks\dixk.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe1a.exe','32'); DeleteFile('C:\Windows\system32\Tasks\dv9d5z0bn.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fcc4.exe','32'); DeleteFile('C:\Windows\system32\Tasks\em9z0kl.job','64'); DeleteFile('C:\Windows\system32\Tasks\gth6x57i.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fcbf.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3f7cf.exe','32'); DeleteFile('C:\Windows\system32\Tasks\h1q6v8619.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3feb2.exe','32'); DeleteFile('C:\Windows\system32\Tasks\j4wka66nh.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa6f.exe','32'); DeleteFile('C:\Windows\system32\Tasks\j93h.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe03.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kk011t.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe67.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kzy0nd5f.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd0e.exe','32'); DeleteFile('C:\Windows\system32\Tasks\lx3qk63.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe49.exe','32'); DeleteFile('C:\Windows\system32\Tasks\mkofqr.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe4a.exe','32'); DeleteFile('C:\Windows\system32\Tasks\mrp56qw.job','64'); DeleteFile('C:\Windows\system32\Tasks\mz8qsu.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd44.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nf5h7.job','64'); DeleteFile('C:\Windows\system32\Tasks\p7jrx8zkzj.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe94.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe4d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\t4x1xjb.job','64'); DeleteFile('C:\Windows\system32\Tasks\t5kpk06.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe18.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fd8d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\u98awjqpj.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fb45.exe','32'); DeleteFile('C:\Windows\system32\Tasks\viyb1.job','64'); DeleteFile('C:\Windows\system32\Tasks\vrxj59h.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe6c.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fa41.exe','32'); DeleteFile('C:\Windows\system32\Tasks\w085r53.job','64'); DeleteFile('C:\Windows\system32\Tasks\wxaugc7bqw.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fdd0.exe','32'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe06.exe','32'); DeleteFile('C:\Windows\system32\Tasks\xndbjxovg.job','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fc40.exe','32'); DeleteFile('C:\Windows\system32\Tasks\y7l7klbj.job','64'); DeleteFile('C:\Windows\system32\Tasks\zqoyu8uyu.job','64'); DeleteFile('C:\Windows\system32\Tasks\03rw6ld0bf','64'); DeleteFile('C:\Windows\system32\Tasks\48ac4','64'); DeleteFile('C:\Windows\system32\Tasks\4zk0jrl','64'); DeleteFile('C:\Windows\system32\Tasks\5hcge','64'); DeleteFile('C:\Windows\system32\Tasks\5j9g2','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fef6.exe','32'); DeleteFile('C:\Windows\system32\Tasks\6gls','64'); DeleteFile('C:\Windows\system32\Tasks\8zt68itsxk','64'); DeleteFile('C:\Windows\system32\Tasks\ba2wby','64'); DeleteFile('C:\Windows\system32\Tasks\bz1mwofvow','64'); DeleteFile('C:\Windows\system32\Tasks\coyjzw','64'); DeleteFile('C:\Windows\system32\Tasks\d1td71xlem','64'); DeleteFile('C:\Windows\system32\Tasks\dixk','64'); DeleteFile('C:\Windows\system32\Tasks\dv9d5z0bn','64'); DeleteFile('C:\Windows\system32\Tasks\gth6x57i','64'); DeleteFile('C:\Windows\system32\Tasks\h1q6v8619','64'); DeleteFile('C:\Windows\system32\Tasks\j4wka66nh','64'); DeleteFile('C:\Windows\system32\Tasks\j93h','64'); DeleteFile('C:\Windows\system32\Tasks\kzy0nd5f','64'); DeleteFile('C:\Windows\system32\Tasks\lx3qk63','64'); DeleteFile('C:\Windows\ehome\mcupdate','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\mcupdate','64'); DeleteFile('C:\Windows\system32\Tasks\mkofqr','64'); DeleteFile('C:\Windows\system32\Tasks\mrp56qw','64'); DeleteFile('C:\Windows\system32\Tasks\mz8qsu','64'); DeleteFile('C:\Windows\system32\Tasks\nf5h7','64'); DeleteFile('C:\Windows\system32\Tasks\p7jrx8zkzj','64'); DeleteFile('C:\Windows\system32\Tasks\t4x1xjb','64'); DeleteFile('C:\Windows\system32\Tasks\t5kpk06','64'); DeleteFile('C:\Windows\system32\Tasks\viyb1','64'); DeleteFile('C:\Windows\system32\Tasks\vrxj59h','64'); DeleteFile('C:\Windows\system32\Tasks\wxaugc7bqw','64'); DeleteFile('C:\Windows\system32\Tasks\xndbjxovg','64'); DeleteFile('C:\Windows\system32\Tasks\y7l7klbj','64'); DeleteFile('C:\Users\andain\AppData\Local\Temp\3fe0b.exe','32'); DeleteFile('C:\Windows\system32\Tasks\zqoyu8uyu','64'); QuarantineFile('C:\Windows\adobe flash player\adobe.exe',''); DeleteFile('C:\Windows\adobe flash player\adobe.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{C2446123-AA37-901A-E7E0-E073EE07FA2D}'); ExecuteWizard('SCU',2,2,true); ExecuteWizard('TSW',2,2,true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте полный образ автозапуска uVS
111
Последний раз редактировалось Никита Соловьев; 14.01.2014 в 23:30.
Выполните скрипт в uVS
пролечитесь утилитой capperkiller лог работы утилиты приложите.Код:;uVS v3.81.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE breg delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3F7CF.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FA40.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FA41.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FA6F.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FB45.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FB5D.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FBD7.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FC1C.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FC40.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FCBF.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FCC4.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FD0E.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FD44.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FD8B.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FD8D.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FDD0.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE03.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE06.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE07.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE0B.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE18.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE1A.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE1C.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE22.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE49.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE4A.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE4D.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE67.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE6C.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE79.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FE94.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FEB2.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FEB6.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FED0.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\3FEF6.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\BPQNT.EXE delall %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\~TMP3351610602878814480.TMP delall /COMCUERRA.COM/THAT/ADDPIC.CREO delref HTTP://WEBSEARCH.SEARCHSUNMY.INFO/?PID=685&R=2013/12/24&HID=7899461451796846133&LG=EN&CC=RU&UNQVL=45 delref HTTP://WEBSEARCH.SEARCHSUNMY.INFO/?PID=685&R=2013/12/24&HID=7899461451796846133&LG=EN&CC=RU&UNQVL=45&L=1&Q= restart
сделайте новый образ автозапуска uVS.
Удалите файлы
Сделайте новый лог AVZКод:C:\Windows\Tasks\03rw6ld0bf.job C:\Windows\Tasks\1bzbqg.job C:\Windows\Tasks\48ac4.job C:\Windows\Tasks\4zk0jrl.job C:\Windows\Tasks\5hcge.job C:\Windows\Tasks\6gls.job C:\Windows\Tasks\8zt68itsxk.job C:\Windows\Tasks\ba2wby.job C:\Windows\Tasks\bz1mwofvow.job C:\Windows\Tasks\clzh83.job C:\Windows\Tasks\coyjzw.job C:\Windows\Tasks\d1td71xlem.job C:\Windows\Tasks\dixk.job C:\Windows\Tasks\em9z0kl.job C:\Windows\Tasks\gth6x57i.job C:\Windows\Tasks\h1q6v8619.job C:\Windows\Tasks\j93h.job C:\Windows\Tasks\kk011t.job C:\Windows\Tasks\kzy0nd5f.job C:\Windows\Tasks\lx3qk63.job C:\Windows\Tasks\mkofqr.job C:\Windows\Tasks\mrp56qw.job C:\Windows\Tasks\mz8qsu.job C:\Windows\Tasks\nf5h7.job C:\Windows\Tasks\p7jrx8zkzj.job C:\Windows\Tasks\t4x1xjb.job C:\Windows\Tasks\t5kpk06.job C:\Windows\Tasks\u98awjqpj.job C:\Windows\Tasks\viyb1.job C:\Windows\Tasks\vrxj59h.job C:\Windows\Tasks\w085r53.job C:\Windows\Tasks\wxaugc7bqw.job C:\Windows\Tasks\xndbjxovg.job C:\Windows\Tasks\y7l7klbj.job C:\Windows\Tasks\zqoyu8uyu.job
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделано
Выполните скрипт в uVS
что с проблемой?Код:;uVS v3.81.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref %SystemDrive%\PROGRAMDATA\BETTERSOFT\OPTIMIZERPRO UPDATER\1507535609.DLL delref %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\VSD57ED.TMP\DOTNETFX35CLIENT\DOTNETFX35CLIENTSETUP.EXE delref %SystemDrive%\USERS\ANDAIN\APPDATA\LOCAL\TEMP\VSDB09A.TMP\DOTNETFX35CLIENT\DOTNETFX35CLIENTSETUP.EXE delref %SystemDrive%\GAMES\PRO EVOLUTION SOCCER\GAME.EXE delref %SystemDrive%\USERS\ANDAIN\DESKTOP\DATA\MHDD32VER4.6ARCHIVE\MHDD.EXE restart
Пока без изменений, url не открывается
Последний раз редактировалось andain86; 15.01.2014 в 14:04.
переустановил opera, проблема решилась. спасибо за помощь
Последний раз редактировалось andain86; 15.01.2014 в 18:39.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Firefox:: FF - ProfilePath - c:\users\andain\AppData\Roaming\Mozilla\Firefox\Profiles\bwsbvwq3.default\ FF - prefs.js: browser.search.defaulturl - hxxp://websearch.searchsunmy.info/?pid=685&r=2013/12/24&hid=7899461451796846133&lg=EN&cc=RU&unqvl=45&l=1&q= FF - prefs.js: browser.search.selectedEngine - WebSearch FF - prefs.js: network.proxy.type - 2 FF - user.js: network.proxy.type - 2 FF - user.js: network.proxy.autoconfig_url - hxxps://comcuerra.com/that/addpic.creo Registry:: FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
сделал
проблема решена, спасибо за помощь
Удалите ComboFix
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\adobe flash player\adobe.exe - Trojan-Clicker.Win32.VB.ipy ( DrWEB: Tool.Click.15, BitDefender: Trojan.Generic.9325529 )
Уважаемый(ая) andain86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
