Аваст стал ловить по 10-30 угроз с данным вирусом. Компьютер проверял утилитой Hitman pro и Cureit. Проблемы находились, устранялись, но вирус по-прежнему действует
Аваст стал ловить по 10-30 угроз с данным вирусом. Компьютер проверял утилитой Hitman pro и Cureit. Проблемы находились, устранялись, но вирус по-прежнему действует
Уважаемый(ая) Adioman, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis профиксить
Код:R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)Уведомление
Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45
Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\RenewalService\Service.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe',''); QuarantineFile('C:\Windows\system32\drivers\qutmipc.sys',''); QuarantineFile('C:\Windows\winstart.bat',''); DeleteFile('C:\Users\1\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\MicrosoftUpdater','32'); DeleteFileMask('C:\Users\1\AppData\Roaming\MicrosoftUpdater', '*', true, ' '); DeleteDirectory('C:\Users\1\AppData\Roaming\MicrosoftUpdater'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог новый лог AVZ
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Логи AVZ
Уточните антивирус 360 сами ставили?
Вам знаком следующий файл/сервис:
AVZ выполнить следующий скрипт.Код:C:\ProgramData\RenewalService\Service.exe
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\MTV20151125\MTView.exe',''); QuarantineFile('C:\Windows\system32\searchprotectservice.exe',''); QuarantineFile('C:\ProgramData\RenewalService\Service.exe',''); QuarantineFileF('C:\ProgramData\RenewalService', '*', false,'', 0, 0); DeleteFile('C:\Windows\system32\searchprotectservice.exe','32'); DeleteFile('C:\Program Files\MTV20151125\MTView.exe','32'); DeleteFileMask('C:\Program Files\MTV20151125', '*', true, ' '); DeleteDirectory('C:\Program Files\MTV20151125'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Антивирус 360 поставился у меня, когда я случайно сцапал программу установки амиго. Вместе со всем этим мусором, на комп устанавливался еще один антивирус китайский. Темпест СС, что ли.. не помню. Удалить его смог. И вроде бы 360 тоже вытравил
C:\ProgramData\RenewalService\Service.exe по поводу этого, единственно что знаю, это поставилось одновременно с установкой амиго и прочего мусора
Что интересно, активность вируса проявляется только во время выполнения стандартного скрипта №3 в AVZ. В остальное время аваст не фиксирует никакой активности вируса.
Где запрошенный ранее лог:
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- - - - -Добавлено - - - - -
Для удаление остатков, выполните следующие инструкции:
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; StopService('TSSK'); DeleteService('TSSK'); QuarantineFile('C:\Program Files\360\Total Security\safemon\QHSafeTray.exe',''); QuarantineFile('C:\Windows\system32\tssk.sys',''); DeleteFile('C:\Program Files\360\Total Security\safemon\QHSafeTray.exe','32'); DeleteFile('C:\Windows\system32\tssk.sys','32'); DeleteFileMask('C:\Program Files\360', '*', true, ' '); DeleteDirectory('C:\Program Files\360'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QHSafeTray','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот
(Аваст не давал скачать эту программу, говоря что вирус)
Вам знакомы следующее:
Код:HKLM\...\runonceex: [Flags] => 128 HKLM\...\runonceex: [Title] => UnHackMe Rootkit Check 2016-01-27 17:29 - 2016-01-27 17:29 - 00000000 _____ C:\Windows\system32\Number of results 2016-01-27 01:59 - 2016-01-27 17:57 - 00000028 _____ C:\Windows\system32\L
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nxivx6r7.default\extensions\[email protected] [not found] FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nxivx6r7.default\extensions\[email protected] => not found Folder: C:\Windows\system32\Number of results Folder: C:\Windows\system32\L 2016-01-27 00:41 - 2016-01-27 00:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WajaNetEn 2016-01-27 00:39 - 2016-01-27 17:58 - 00000000 ____D C:\Users\1\AppData\Local\Unity 2016-01-27 00:39 - 2016-01-27 01:08 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity 2016-01-27 00:39 - 2016-01-27 00:57 - 00000000 ____D C:\Users\1\AppData\Roaming\MailProducts Task: {01F80595-09B6-4EE3-816E-08D19E8BBF38} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {34974C63-BC7A-4B70-879A-7F0F53D7B64E} - \Kit Total2 -> No File <==== ATTENTION Task: {84A12DBC-2ADD-4E37-B1C2-8F20A6291D19} - \Kit Total -> No File <==== ATTENTION Task: {B0EFF3E1-FDB7-4FC6-B045-DC97D25C3966} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {D109D1A1-E89F-4C55-9658-4212FE912CB7} - \Microsoft\Windows\MicrosoftUpdater -> No File <==== ATTENTION [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QHSafeTray] EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
В системных событиях логируется ошибка драйвера антивируса 360
В связи с этим уточните если требуется Вам антивирус 360, драйвер и карантин?Код:Error: (01/31/2016 09:32:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: qutmipc
Код:S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn) 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\Users\Все пользователи\360Quarant 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\ProgramData\360Quarant 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\$360Section
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ничего из вышеописанного мне не знакомо. Антивирус 360 не нужен
Приложите новый лог FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\runonceex: [Flags] => 128 HKLM\...\runonceex: [Title] => UnHackMe Rootkit Check S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn) 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\Users\Все пользователи\360Quarant 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\ProgramData\360Quarant 2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\$360Section 2016-01-27 17:31 - 2015-12-31 06:30 - 00053960 _____ (360.cn) C:\Windows\system32\Drivers\qutmipc.sys 2016-01-27 01:05 - 2016-01-27 01:05 - 00030392 _____ (Tencent) C:\Windows\system32\Drivers\TS888.sys 2016-01-27 00:44 - 2016-01-27 01:40 - 00000000 ____D C:\Users\1\AppData\Roaming\Calculator Folder: C:\Users\1\AppData\Roaming\ProductData 2016-01-27 00:43 - 2016-01-27 00:43 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData Folder: C:\Users\1\AppData\Roaming\DRPSu Folder: C:\Windows\system32\DAX2 Folder: C:\Program Files\TData 2016-01-27 00:37 - 2016-01-27 18:03 - 00000000 ____D C:\Program Files\TData EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Adioman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.