Привью:
1) Постоянно запущен в фоновом режиме експлорер, грузит память и цп, время от времени запускает аудиофайл, там мужчины и женщины говорят на инглише разные цифры в рандоме, или запускает еще всякие ролики, но сам експлорер открыть нельзя. Закрываю через диспечер, он заново запускается.
2) В процессах куча новых программ, удалить которые не могу из-за того что ни постоянно используются системой, моментами грузит ЦП на 100 и валит систему как может.
Отправляю все логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Женя Кисель, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Администратор\AppData\Local\wincheck\wincheck.exe',''); DeleteService('servervo'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\SoftwareUpdater\SUsrv.exe',''); DeleteService('serversu'); TerminateProcessByName('c:\users\Администратор\appdata\local\temp\temp454120050.exe'); QuarantineFile('c:\users\Администратор\appdata\local\temp\temp454120050.exe',''); DeleteFile('c:\users\Администратор\appdata\local\temp\temp454120050.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\SoftwareUpdater\SUsrv.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkInformer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver'); DeleteFile('C:\Users\Администратор\AppData\Local\wincheck\wincheck.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте логи RSIT
Сделайте лог Check Browsers' LNK
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновил логи, добавил карантин
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите вручную
C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Users\Администратор\AppData\Roaming\AnyProtectE x
C:\Users\Администратор\AppData\Roaming\SoftwareUpd ater
C:\Users\Администратор\AppData\Roaming\VOPackage
C:\Users\Администратор\AppData\Roaming\Browsers
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
По итогам: звуки и екслорер больше не беспокоят, цп все еще завышено.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово :3
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: FF Extension: Free Games 111 - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\freegames4357@BestOffers [2014-03-08] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-01-23] FF Extension: Tutnedorogo.ru - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-04-17] FF Extension: Speed Test 127 - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\speedtest4354@BestOffers [2014-03-08] FF Extension: Візуальныя закладкі - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-04-17] FF Extension: Кампанент "Элементы Яндекса" - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-01-09] FF Extension: Визуальные закладки @Mail.Ru - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-01-23] FF Extension: WebAlta - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-11-21] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers [Not Found] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\speedtest4354@BestOffers [Not Found] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found] FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found] FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found] CHR Extension: (SuperMegaBest.com) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-02-11] CHR Extension: (FullProtected) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-01-24] CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Администратор\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path 2015-01-30 10:56 - 2015-02-07 18:37 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser 2015-01-23 22:03 - 2015-01-23 22:03 - 00000000 __SHD () C:\Users\Администратор\AppData\Roaming\AnyProtectEx 2015-01-23 20:51 - 2015-02-07 11:36 - 00000000 ____D () C:\Users\Администратор\AppData\Local\wincheck 2015-01-23 20:50 - 2015-01-23 20:50 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage Task: {2240C586-95E8-4AC3-AB19-46DBE6005E7F} - \BonanzaDealsUpdate No Task File <==== ATTENTION Task: {690AFBCB-0BD7-4CE4-95FE-B75BC6BB1CA5} - \PC Performer_DEFAULT No Task File <==== ATTENTION Task: {805DD10B-38F2-4C3F-9CBE-3F76C7B64481} - \chrome5 No Task File <==== ATTENTION Task: {8C9A8672-2089-441E-B24C-D6F97B5C1170} - \PC Performer_UPDATES No Task File <==== ATTENTION Task: {A1DD2464-317A-42D6-B64C-DD4E061D4CB7} - \PC Performer No Task File <==== ATTENTION Task: {BA1392EE-5D87-4493-92AB-AA8C57544EF1} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File <==== ATTENTION Task: {DE09D8A0-FADD-4375-A229-5D74EB7B8F55} - \chrome5_logon No Task File <==== ATTENTION Task: {F9947DD3-9190-40A6-A1D5-B9466E1E364A} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File <==== ATTENTION AlternateDataStreams: C:\Users\Администратор\Local Settings:wa AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\users\администратор\appdata\local\temp\temp4541 20050.exe - Trojan.Win32.Crypt.dbp ( AVAST4: Win32:Trojan-gen )
- c:\users\администратор\appdata\roaming\browsers\ex e.emorhc.bat - Trojan-Clicker.BAT.Small.bv
- c:\users\администратор\appdata\roaming\browsers\ex e.erolpxei.bat - Trojan-Clicker.BAT.Small.bv
- c:\users\администратор\appdata\roaming\vopackage\v osrv.exe - not-a-virus:AdWare.Win32.Agent.gypa ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Женя Кисель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
