Здравствуйте, у меня возникла небольшая (как казалось на первый взгляд) проблема. В мой компьютер магическим образом попал рекламный вирус и удалить я его никак не могу. В папке %ProgramData% создаются папки с рандомными названиями, а внутри них - батники и несколько файлов без расширения. Думал сам решу проблему - но это вам не амиго и не спутник майл.ру. Прошу помочь!
Последний раз редактировалось jack747; 30.12.2015 в 10:44.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) jack747, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не нужно выкладывать карантин в тему, даже если он пуст.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin StopService('HSystem'); QuarantineFile('C:\Users\Евгений\AppData\Local\NtgOoXimMEyG\IkNkyWPHaRSFKYd1.bat', ''); QuarantineFile('C:\ProgramData\lrUrlmd\VqAsBHGRYQejD5.bat', ''); QuarantineFile('C:\ProgramData\AgjQLYVirjpH\tWOTPTbvGu0.bat', ''); QuarantineFile('C:\Program Files (x86)\Oursoft\zB1856.exe', ''); DeleteFile('C:\Program Files (x86)\Oursoft\zB1856.exe', '32'); DeleteService('LiveUpdateSvc'); DeleteService('HSystem'); DeleteFileMask('C:\Program Files (x86)\Oursoft', '*', true); DeleteDirectory('C:\Program Files (x86)\Oursoft'); ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Евгений)" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
Вроде все делал правильно. Реклама продолжает открываться. Карантин пуст
При попытке прислать через ссылку "Прислать запрошенный карантин", выдает ошибку "такой файл уже загружен"
Второй раз предупреждаю: не нужно прикреплять карантин в тему! Удалите quarantine.zip из вложений.
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Извините, тупанул насчет карантина. Вот файлы
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: S3 cleanhlp; \??\C:\Program Files (x86)\EmsiSoft\Emergency Kit\cleanhlp64.sys [X] 2015-12-29 21:10 - 2015-12-29 21:10 - 00000000 ____D C:\Users\Евгений\AppData\Local\NtgOoXimMEyG 2015-12-29 21:10 - 2015-12-29 21:10 - 00000000 ____D C:\Users\Все пользователи\lrUrlmd 2015-12-29 21:10 - 2015-12-29 21:10 - 00000000 ____D C:\Users\Все пользователи\AgjQLYVirjpH 2015-12-26 17:05 - 2015-12-26 17:05 - 00000000 ____D C:\Users\Евгений\AppData\Local\aqUKFHCUpYIf 2015-12-26 21:02 - 2015-12-26 21:02 - 00024064 _____ C:\Users\Евгений\AppData\Roaming\Server.exe 2015-12-26 17:05 - 2015-12-26 17:05 - 00000000 ____D C:\Users\Евгений\AppData\Local\aqUKFHCUpYIf 2015-12-25 21:58 - 2015-12-25 21:58 - 00000000 _____ C:\Users\Евгений\AppData\Roaming\Server.exe.tmp CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oursoft" /f /reg:32 EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Огромное Вам спасибо! Реклама исчезла! Если бы смог - дал бы 1000 репы!
Последний раз редактировалось jack747; 30.12.2015 в 15:19.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Все сделал, спасибо за помощь! Репутацию почему-то не получается добавить...
Уважаемый(ая) jack747, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
