Добрый день, ребята. Надеюсь на Вашу помощь. Такая же проблема, как в нескольких прошлых темах: сообщение на р.столе с просьбой написать туда-то , файлы зашифровались в MS-DOS. Логи прикрепила.
Добрый день, ребята. Надеюсь на Вашу помощь. Такая же проблема, как в нескольких прошлых темах: сообщение на р.столе с просьбой написать туда-то , файлы зашифровались в MS-DOS. Логи прикрепила.
Уважаемый(ая) EstaticFear, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~1\COMMON~1\SpeedBit\SBUpdate\SBUpdate.exe',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-updater.exe',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-enabler.exe',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-chromeinstaller.exe',''); QuarantineFile('C:\DOCUME~1\Ol\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE',''); DelBHO('{F6C07882-D703-4DD5-905A-2C4E815A5066}'); DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); QuarantineFile('C:\Documents and Settings\Ol\Application Data\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll',''); DelBHO('{11111111-1111-1111-1111-110311301136}'); DelBHO('{11111111-1111-1111-1111-110311531182}'); DelBHO('{11111111-1111-1111-1111-110311551178}'); DelBHO('{1824FF90-C98E-48A6-838F-E3B6572B0C77}'); DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}'); DelBHO('{30a82554-1011-4929-8c37-73fb6456b403}'); DelBHO('{57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA}'); DelBHO('{6E3C6B04-08FE-43BC-8E50-F90285024DEA}'); DelBHO('{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}'); QuarantineFile('C:\Program Files\Better-Surf\ie\BetterSrf.dll',''); QuarantineFile('C:\Program Files\BetterSurf\ie\BetterSurf.dll',''); QuarantineFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll',''); QuarantineFile('C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha568\ie\WebexpEnhancedV1alpha568.dll',''); QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll',''); QuarantineFile('C:\Program Files\BetterSurf\BetterSurfPlus\ie\BetterSrf.dll',''); QuarantineFile('C:\Program Files\Torntv 2\Torntv 2-bho.dll',''); QuarantineFile('C:\Program Files\hosts\hosts-bho.dll',''); QuarantineFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-bho.dll',''); QuarantineFile('C:\ProgramData\Program status\scheck.exe',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\Documents and Settings\Ol\Главное меню\Программы\Автозагрузка\2BED.tmp',''); QuarantineFile('C:\Documents and Settings\Ol\Local Settings\Application Data\storegid\storegidup.exe',''); QuarantineFile('C:\Documents and Settings\Ol\Local Settings\Application Data\storegid\storegid.exe',''); QuarantineFile('C:\DOCUME~1\Ol\LOCALS~1\Temp\UsageTemp.exe',''); QuarantineFile('C:\DOCUME~1\Ol\LOCALS~1\Temp\DqCZxbXxn1Gs.exe',''); SetServiceStart('storegidfilter', 4); DeleteService('storegidfilter'); SetServiceStart('Update Service for advPlugin', 4); DeleteService('Update Service for advPlugin'); SetServiceStart('qksvc', 4); DeleteService('qksvc'); SetServiceStart('MgAssistService', 4); DeleteService('MgAssistService'); QuarantineFile('C:\WINDOWS\storegidfilter.sys',''); QuarantineFile('C:\Program Files\VLC Player GPU+\coinutil.dll',''); QuarantineFile('C:\Program Files\VLC Player GPU+\miner.dll',''); QuarantineFile('C:\Program Files\Zaxar\libandle.dll',''); QuarantineFile('C:\Program Files\Zaxar\libjson.dll',''); TerminateProcessByName('c:\program files\zaxar\zaxargamebrowser.exe'); QuarantineFile('c:\program files\zaxar\zaxargamebrowser.exe',''); TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe'); QuarantineFile('c:\program files\zaxar\zaxarloader.exe',''); TerminateProcessByName('c:\program files\vlc player gpu+\usagemonitor.exe'); QuarantineFile('c:\program files\vlc player gpu+\usagemonitor.exe',''); TerminateProcessByName('c:\program files\vlc player gpu+\usagelog.exe'); QuarantineFile('c:\program files\vlc player gpu+\usagelog.exe',''); TerminateProcessByName('c:\programdata\schedule\timetasks.exe'); QuarantineFile('c:\programdata\schedule\timetasks.exe',''); TerminateProcessByName('c:\documents and settings\ol\local settings\application data\microsoft\windows\system.exe'); QuarantineFile('c:\documents and settings\ol\local settings\application data\microsoft\windows\system.exe',''); TerminateProcessByName('c:\documents and settings\ol\local settings\application data\storegid\storegid.exe'); QuarantineFile('c:\documents and settings\ol\local settings\application data\storegid\storegid.exe',''); TerminateProcessByName('c:\program files\quiknowledge\service\qksvc.exe'); QuarantineFile('c:\program files\quiknowledge\service\qksvc.exe',''); TerminateProcessByName('c:\program files\mobogenie\mgassist.exe'); TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('c:\program files\mobogenie\mgassist.exe','32'); DeleteFile('c:\program files\quiknowledge\service\qksvc.exe','32'); DeleteFile('c:\documents and settings\ol\local settings\application data\storegid\storegid.exe','32'); DeleteFile('c:\documents and settings\ol\local settings\application data\microsoft\windows\system.exe','32'); DeleteFile('c:\programdata\schedule\timetasks.exe','32'); DeleteFile('c:\program files\vlc player gpu+\usagelog.exe','32'); DeleteFile('c:\program files\vlc player gpu+\usagemonitor.exe','32'); DeleteFile('c:\program files\zaxar\zaxarloader.exe','32'); DeleteFile('c:\program files\zaxar\zaxargamebrowser.exe','32'); DeleteFile('C:\Program Files\Zaxar\libjson.dll','32'); DeleteFile('C:\Program Files\Zaxar\libandle.dll','32'); DeleteFile('C:\Program Files\VLC Player GPU+\miner.dll','32'); DeleteFile('C:\Program Files\VLC Player GPU+\coinutil.dll','32'); DeleteFile('C:\WINDOWS\storegidfilter.sys','32'); DeleteFile('C:\DOCUME~1\Ol\LOCALS~1\Temp\DqCZxbXxn1Gs.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','DqCZxbXxn1Gs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UsageTemp'); DeleteFile('C:\DOCUME~1\Ol\LOCALS~1\Temp\UsageTemp.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); DeleteFile('C:\Documents and Settings\Ol\Local Settings\Application Data\storegid\storegid.exe','32'); DeleteFile('C:\Documents and Settings\Ol\Local Settings\Application Data\storegid\storegidup.exe','32'); DeleteFile('C:\Documents and Settings\Ol\Главное меню\Программы\Автозагрузка\2BED.tmp','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid'); DeleteFile('C:\Documents and Settings\Ol\Главное меню\Программы\Автозагрузка\foxmail.bmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UsageLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); DeleteFile('C:\ProgramData\Program status\scheck.exe','32'); DeleteFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-bho.dll','32'); DeleteFile('C:\Program Files\hosts\hosts-bho.dll','32'); DeleteFile('C:\Program Files\Torntv 2\Torntv 2-bho.dll','32'); DeleteFile('C:\Program Files\BetterSurf\BetterSurfPlus\ie\BetterSrf.dll','32'); DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32'); DeleteFile('C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha568\ie\WebexpEnhancedV1alpha568.dll','32'); DeleteFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','32'); DeleteFile('C:\Program Files\BetterSurf\ie\BetterSurf.dll','32'); DeleteFile('C:\Program Files\Better-Surf\ie\BetterSrf.dll','32'); DeleteFile('C:\Documents and Settings\Ol\Application Data\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll','32'); DeleteFile('C:\DOCUME~1\Ol\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe','32'); DeleteFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-enabler.exe','32'); DeleteFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe','32'); DeleteFile('C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-updater.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Torntv 2-updater.job','32'); DeleteFile('C:\WINDOWS\Tasks\Torntv 2-enabler.job','32'); DeleteFile('C:\WINDOWS\Tasks\Torntv 2-codedownloader.job','32'); DeleteFile('C:\WINDOWS\Tasks\Plus-HD-2.2-updater.job','32'); DeleteFile('C:\WINDOWS\Tasks\Plus-HD-2.2-firefoxinstaller.job','32'); DeleteFile('C:\WINDOWS\Tasks\Plus-HD-2.2-enabler.job','32'); DeleteFile('C:\WINDOWS\Tasks\Plus-HD-2.2-codedownloader.job','32'); DeleteFile('C:\WINDOWS\Tasks\Plus-HD-2.2-chromeinstaller.job','32'); DeleteFile('C:\WINDOWS\Tasks\At3.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проверьте, ничего ли не забыла. Карантин вроде отправился. Если не дошел, перешлю.
Поместите в карантин МВАМ всё найденное
Сделайте новые логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот.
удалите вручнуюКод:C:\Documents and Settings\Ol\Application Data\advPlugin C:\Program Files\advPlugin C:\Program Files\PC Speed Up C:\Program Files\Zaxar
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
...
desktopy удалите через Установку программ
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: qknfd Folder:: Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "desktopy"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Держите
Удалите ComboFix
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за оказанную помощь. С наступающим)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 108
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ol\local settings\application data\microsoft\windows\system.exe - Trojan.Win32.Agent.almnh ( DrWEB: Trojan.MulDrop5.42554, BitDefender: Trojan.GenericKD.2004191, AVAST4: Win32:Malware-gen )
- c:\docume~1\ol\locals~1\temp\dqczxbxxn1gs.exe - Trojan.Win32.Agent.albyz ( BitDefender: Gen:Variant.Graftor.164910 )
- c:\docume~1\ol\locals~1\temp\usagetemp.exe - Trojan.Win32.Miner.abv ( DrWEB: Trojan.BtcMine.221, BitDefender: Gen:Variant.Symmi.39392, AVAST4: Win32:BitCoinMiner-FC [Trj] )
- c:\program files\bettersurf\bettersurfplus\ie\bettersrf.dll - not-a-virus:AdWare.Win32.BetterSurf.b ( DrWEB: Adware.BetterSurf.1323, BitDefender: Gen:Variant.Adware.Graftor.125844, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files\better-surf\ie\bettersrf.dll - not-a-virus:AdWare.Win32.BetterSurf.b ( AVAST4: Win32:Adware-gen [Adw] )
- c:\program files\bettersurf\ie\bettersurf.dll - not-a-virus:AdWare.Win32.BetterSurf.b ( BitDefender: Gen:Variant.Adware.BetterSurf.1, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files\hosts\hosts-bho.dll - not-a-virus:WebToolbar.Win32.Agent.yx ( BitDefender: Adware.Generic.649205 )
- c:\program files\plus-hd-2.2\plus-hd-2.2-bho.dll - not-a-virus:WebToolbar.Win32.CroRi.bei ( BitDefender: Gen:Application.Heur.Ty9@ku7seCmi )
- c:\program files\plus-hd-2.2\plus-hd-2.2-chromeinstaller.exe - not-a-virus:WebToolbar.Win32.CroRi.bei ( BitDefender: Gen:Application.Heur.Cu1@k0bdd9kO )
- c:\program files\plus-hd-2.2\plus-hd-2.2-codedownloader.exe - not-a-virus:WebToolbar.Win32.CroRi.bei ( BitDefender: Gen:Application.Heur.Du1@kuUry3oO )
- c:\program files\plus-hd-2.2\plus-hd-2.2-enabler.exe - not-a-virus:WebToolbar.Win32.CroRi.bei ( DrWEB: Trojan.Crossrider.8418, BitDefender: Gen:Application.Heur.vu1@k4es23kO )
- c:\program files\plus-hd-2.2\plus-hd-2.2-firefoxinstaller.exe - not-a-virus:WebToolbar.Win32.CroRi.bei ( DrWEB: Trojan.Crossrider.27966, BitDefender: Gen:Application.Heur.Su1@kqejUccO )
- c:\program files\plus-hd-2.2\plus-hd-2.2-updater.exe - not-a-virus:WebToolbar.Win32.CroRi.bei ( BitDefender: Adware.Agent.NWH )
- c:\program files\quiknowledge\service\qksvc.exe - not-a-virus:AdWare.Win32.Agent.gjhg ( DrWEB: Adware.Popad.10 )
- c:\program files\vlc player gpu+\coinutil.dll - Trojan.Win32.Miner.abi ( DrWEB: Tool.BtcMine.191, BitDefender: Application.BitCoinMiner.EU )
- c:\program files\vlc player gpu+\miner.dll - not-a-virus:RiskTool.Win32.BitCoinMiner.ges ( DrWEB: Tool.BtcMine.191, BitDefender: Application.BitCoinMiner.DU )
- c:\program files\vlc player gpu+\usagelog.exe - not-a-virus:HEUR:Downloader.Win32.Whyseeme.a ( DrWEB: Trojan.BtcMine.221, BitDefender: Gen:Variant.Symmi.39392, AVAST4: Win32:BitCoinMiner-FC [Trj] )
- c:\program files\vlc player gpu+\usagemonitor.exe - Trojan.Win32.Miner.abh ( DrWEB: Trojan.BtcMine.221, BitDefender: Gen:Variant.Application.Symmi.37591, AVAST4: Win32:BitCoinMiner-FC [Trj] )
- c:\program files\webexpenhancedv1\webexpenhancedv1alpha568\ie \webexpenhancedv1alpha568.dll - not-a-virus:AdWare.Win32.BetterSurf.b ( DrWEB: Adware.BetterSurf.2, BitDefender: Gen:Variant.Adware.BetterSurf.1, AVAST4: Win32:Adware-gen [Adw] )
- c:\programdata\program status\scheck.exe - not-a-virus:Downloader.Win32.ZxrLoader.c ( DrWEB: Adware.Zaxar.6, BitDefender: Trojan.Generic.11651466 )
- c:\programdata\schedule\timetasks.exe - not-a-virus:Downloader.Win32.ZxrLoader.d ( DrWEB: Trojan.DownLoad3.34005, BitDefender: Gen:Variant.Zusy.107268 )
Уважаемый(ая) EstaticFear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.