Уважаемый(ая) shlango071, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\Сергей\appdata\local\birds\birds365.exe'); TerminateProcessByName('c:\program files\groover230120161208\csrcc.exe'); TerminateProcessByName('c:\program files\groover230120161208\ebuofrej.exe'); TerminateProcessByName('c:\program files\groover230120161208\fucolo.exe'); TerminateProcessByName('C:\Program Files\groover230120161208\Fucolo64.exe'); TerminateProcessByName('c:\program files\groover230120161208\nocwhq.exe'); StopService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE'); StopService('csrcc'); StopService('groover230120161208 Updater'); QuarantineFile('c:\users\Сергей\appdata\local\birds\birds365.exe', ''); QuarantineFile('c:\program files\groover230120161208\csrcc.exe', ''); QuarantineFile('c:\program files\groover230120161208\ebuofrej.exe', ''); QuarantineFile('c:\program files\groover230120161208\fucolo.exe', ''); QuarantineFile('C:\Program Files\groover230120161208\Fucolo64.exe', ''); QuarantineFile('c:\program files\groover230120161208\nocwhq.exe', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', ''); QuarantineFile('C:\Program Files\groover230120161208\Uuvie.DLL', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', ''); QuarantineFile('Dumaze.sys', ''); QuarantineFile('C:\ProgramData\Tmp0x0x\P', ''); QuarantineFile('C:\Program Files\groover230120161208\Roetr.dll', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', ''); QuarantineFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', ''); QuarantineFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', ''); DeleteFile('c:\users\Сергей\appdata\local\birds\birds365.exe', '32'); DeleteFile('c:\program files\groover230120161208\csrcc.exe', '32'); DeleteFile('c:\program files\groover230120161208\ebuofrej.exe', '32'); DeleteFile('c:\program files\groover230120161208\fucolo.exe', '32'); DeleteFile('C:\Program Files\groover230120161208\Fucolo64.exe', '32'); DeleteFile('c:\program files\groover230120161208\nocwhq.exe', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', '32'); DeleteFile('C:\Program Files\groover230120161208\Uuvie.DLL', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', '32'); DeleteFile('Dumaze.sys', '32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TS888x64.sys', '32'); DeleteFile('C:\ProgramData\Tmp0x0x\P', '32'); DeleteFile('C:\Program Files\groover230120161208\Roetr.dll', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', '32'); DeleteFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', '32'); DeleteFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', '32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\WindowsUpdater\Updater.exe', '32'); DeleteService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE'); DeleteService('csrcc'); DeleteService('groover230120161208 Updater'); DeleteService('Dumaze'); DeleteService('QMUdisk'); DeleteService('TS888x64'); DeleteFileMask('c:\users\Сергей\appdata\local\birds', '*', true); DeleteFileMask('c:\program files\groover230120161208', '*', true); DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true); DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true); DeleteFileMask('C:\Users\Сергей\AppData\Local\Mail.Ru', '*', true); DeleteFileMask('C:\Users\Сергей\AppData\Local\Hostinstaller', '*', true); DeleteFileMask('C:\Users\Сергей\AppData\Local\SystemMonitor2016', '*', true); DeleteFileMask('C:\Users\Сергей\AppData\Roaming\WindowsUpdater', '*', true); DeleteDirectory('c:\users\Сергей\appdata\local\birds'); DeleteDirectory('c:\program files\groover230120161208'); DeleteDirectory('C:\Program Files (x86)\Tencent'); DeleteDirectory('C:\ProgramData\Tmp0x0x'); DeleteDirectory('C:\Users\Сергей\AppData\Local\Mail.Ru'); DeleteDirectory('C:\Users\Сергей\AppData\Local\Hostinstaller'); DeleteDirectory('C:\Users\Сергей\AppData\Local\SystemMonitor2016'); DeleteDirectory('C:\Users\Сергей\AppData\Roaming\WindowsUpdater'); DelBHO('{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Tisgi" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater4" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_005010213] => [X] HKLM-x32\...\Run: [gmsd_ru_005010215] => [X] HKLM-x32\...\Run: [gmsd_ru_005010212] => [X] HKU\S-1-5-21-2570669229-90642131-1025611686-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=820475 SearchScopes: HKU\S-1-5-21-2570669229-90642131-1025611686-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = BHO: groover230120161208 -> {8A647EB9-B2E6-4B02-a0F7-FEE60494DC97} -> C:\Program Files\groover230120161208\Roetr64.dll => No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453215781&z=3c98d745fa36919e80c652dg5z9wcc8ocg1w8m0tdg&from=face&uid=WDCXWD7500AADS-00M2B0_WD-WCAV5004924949249 FF DefaultSearchEngine: Поиск@Mail.Ru FF SelectedSearchEngine: Поиск@Mail.Ru FF Homepage: hxxp://mail.ru/cnt/10445?gp=820475 FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B20FDC599-042F-4A49-A4BD-BDBFF17F84CC%7D&gp=820485 FF user.js: detected! => C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-01-23] FF HKLM\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found FF HKLM-x32\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found CHR HomePage: Default -> mail.ru/cnt/11956636 CHR Extension: (Kaspersky Protection) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpeeaghdjmhlakojjcgfdhgcejdaefmi [2016-01-31] CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-19] (DotC United Inc) S1 cherimoya; system32\drivers\cherimoya.sys [X] 2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds365 2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds 2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\Company 2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} 2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\uninst 016-01-23 16:42 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453567379-4438-4246-4242FFFFFFFF 2016-01-23 16:11 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453565498-4438-4246-4242FFFFFFFF 2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\ASPackage 2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Program Files (x86)\34323030-1453554631-4438-4246-4242FFFFFFFF 2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\RRhnHwEi 2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\igeWZO 2016-01-19 18:38 - 2016-01-19 18:36 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys 2016-01-19 18:36 - 2016-01-23 16:09 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner 2016-01-19 18:27 - 2016-01-20 22:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\yoursearching 2016-01-19 18:11 - 2016-01-19 18:11 - 00000000 ____D C:\ProgramData\YynLPFPf 2016-01-19 18:02 - 2016-01-20 22:50 - 00000000 ____D C:\Program Files\Sound+ 2016-01-19 17:53 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453226018-4438-4246-4242FFFFFFFF 2016-01-19 17:52 - 2016-01-25 01:03 - 00000000 ____D C:\Program Files (x86)\34323030-1453215130-4438-4246-4242FFFFFFFF 2016-01-19 17:52 - 2016-01-19 17:51 - 00001017 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2016-01-19 17:51 - 2016-01-19 17:51 - 00000000 ____D C:\Users\Сергей\AppData\Local\SystemMonitor2016 2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\Hzdioacsj 2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\cFMjnfFQ 2016-01-11 20:44 - 2016-01-11 23:01 - 00000000 ____D C:\ProgramData\hStlaUHpdnlNXZC 2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\xUbZqSLJ 2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\QDQVQmSlPk 2016-01-11 14:54 - 2016-01-23 22:26 - 00000000 ____D C:\Users\Все пользователи\fUuRmGb 2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\oDLYbAZ 2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kBoOsa 2016-01-08 22:11 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\DefIrSb 2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\mRPkRHoAU 2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kEdNnQYyJhz 2016-01-05 10:21 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\FbaZSKC 2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\pybjJKFnwHTda 2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\PpfIDM 2016-01-04 18:37 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\CgWpYYDpddhclN 2016-01-02 17:51 - 2016-01-02 17:51 - 00000000 ____D C:\Users\Public\Documents\GenieSoft 2016-01-02 17:50 - 2016-01-11 22:17 - 00000000 ____D C:\Users\Сергей\Documents\Mobogenie 2016-01-02 17:50 - 2016-01-02 17:50 - 00000000 ____D C:\Users\Сергей\AppData\Local\Hostinstaller 2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\lmtiee 2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\zqWMkt 2016-01-02 17:48 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\iebmbGJoCuSRKyn 2016-01-02 17:47 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\gOtSyvMowCqctGz FirewallRules: [{3E48E6F7-DEFA-4069-B4E0-0CC3339D8053}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{3D5DA134-0ECA-4057-80DD-EEF3DBBA99F5}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupApproved\Run\amigo"" /f CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}" /f /reg:32 EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) shlango071, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.