Win32 Kryptic-PFA. Заражение системы. [not-a-virus:WebToolbar.Win32.Agent.bqg
]
Доброго времени суток.
Как попал - не знаю. Заметил - перестала определятся видеокарта в играх. AVAST (всегда обновляется) показал вот такую бяку (Win32 Kryptic-PFA). По его проверке заражено - 406 файлов. Часть у него получилось удалить, часть нет.
Вопрос - как избавится от этого вируса полностью?
Файлы логов прикрепляю. Так же прикрепляю файл со скрином из AVAST.
С уважением,
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Realtor89, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скрипты AMZ выполнены, исходя из требований к размещению раздела "Помогите". Приложены к файлу (у меня 64bit система, выполнял со второго пункта). Продублирую. Напишите пожалуйста, какие именно ещё нужны.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Users\Max\AppData\Roaming\cppredistx86.exe','');
StopService('Update Service for advPlugin');
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('C:\Users\Max\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{2e32cfe5-df92-4ae5-b0be-609ed0df74a6} (PUP.Optional.SaveSence.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2E32CFE5-DF92-4AE5-B0BE-609ED0DF74A6} (PUP.Optional.SaveSence.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2E32CFE5-DF92-4AE5-B0BE-609ED0DF74A6} (PUP.Optional.SaveSence.A) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Users\Max\AppData\Local\Temp\extensionInstallerHelperFolder (PUP.Optional.ExtensionInstallerHelper.A) -> Действие не было предпринято.
Обнаруженные файлы: 18
C:\Users\Max\AppData\Local\Temp\extensionInstallerHelperFolder\Chromium.dll (PUP.Optional.ExtensionInstallerHelper.A) -> Действие не было предпринято.
C:\Users\Max\AppData\Local\Temp\extensionInstallerHelperFolder\InstallerHelper.dll (PUP.Optional.ExtensionInstallerHelper.A) -> Действие не было предпринято.
C:\Users\Max\AppData\Local\Temp\extensionInstallerHelperFolder\InstallerHelperLowSupport.dll (PUP.Optional.ExtensionInstallerHelper.A) -> Действие не было предпринято.
C:\Users\Max\AppData\Local\Temp\extensionInstallerHelperFolder\KompexSQLiteWrapper.dll (PUP.Optional.ExtensionInstallerHelper.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: