Удалились все расширения хрома, главная страница Trotux [not-a-virus:HEUR:Downloader.MSIL.Temonde.gen ]

**Lancer_000** · 20.06.2016, 11:33

Удалились все расширения хрома, главная страница стал Trotux(как понял я не 1 такой), некоторые левые расширения в хроме не удаляются, плюс через силу штук 20 ненужных программ начали сами устанавливаться. Причина-скачал 2 левых установщика, только не уверен какой из них, могу либо выложить либо еще каким способом показать. Добавлю, еще каждые 5 минут открывается окно на весь экран, с установкой нового софта, диспетчер показывает как .tmp файл, каждый раз разные имена. Еще один момент, среди этого букета была SpaceSoundPro(я конечно пытался чистить как мог) теперь звук как из ж.. трубы какой то бубнит, прошу помогите эту нечисть истребить

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.06.2016, 11:35

Уважаемый(ая) Lancer_000, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 20.06.2016, 12:19

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Влад\AppData\Local\Hostinstaller\46932367_123.exe','');
 QuarantineFile('C:\ProgramData\VideoFetcher\VideoFetcher.exe','');
 QuarantineFile('C:\Users\Влад\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\mpck\otutnetwork.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Program Files (x86)\mpck\wincom_Q6H.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe','');
 SetServiceStart('UCGuard', 4);
 DeleteService('UCGuard');
 QuarantineFile('C:\Windows\system32\drivers\blNetFilter.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\ucguard.sys','');
 DeleteService('JtsLncs');
 QuarantineFile('C:\Program Files (x86)\Jatosydinodom\JtsLncs.xhtm5','');
 QuarantineFile('C:\Users\Влад\AppData\Local\Apps\2.0\abril.exe','');
 SetServiceStart('ProntSpooler', 4);
 DeleteService('ProntSpooler');
 SetServiceStart('pezoderezbt', 4);
 DeleteService('pezoderezbt');
 TerminateProcessByName('c:\program files (x86)\275bfa80-1466405982-0000-0000-000000000000\knsoab7e.tmpfs');
 QuarantineFile('c:\program files (x86)\275bfa80-1466405982-0000-0000-000000000000\knsoab7e.tmpfs','');
 TerminateProcessByName('c:\windows\temp\bfb8.tmp');
 QuarantineFile('c:\windows\temp\bfb8.tmp','');
 DeleteFile('c:\windows\temp\bfb8.tmp','32');
 DeleteFile('c:\program files (x86)\275bfa80-1466405982-0000-0000-000000000000\knsoab7e.tmpfs','32');
 DeleteFile('C:\Users\Влад\AppData\Local\Apps\2.0\abril.exe','32');
 DeleteFile('C:\Program Files (x86)\Jatosydinodom\JtsLncs.xhtm5','32');
 DeleteFile('C:\Windows\system32\DRIVERS\ucguard.sys','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WINCOMQ6H');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Users\Влад\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\MzIzNTM0Mzc=.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VideoFetcher','64');
 DeleteFile('C:\ProgramData\VideoFetcher\VideoFetcher.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Jatosydinodom Launcher','64');
 DeleteFile('C:\Users\Влад\AppData\Local\Hostinstaller\46932367_123.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MzIzNTM0Mzc=','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

**Lancer_000** · 20.06.2016, 13:00

Карантин отправил, а логи нужно в новой теме отправить? Не могу в ответе прикрепить

**Lancer_000** · 20.06.2016, 13:04

Прошу прощения если зря новую тему открыл, это к http://virusinfo.info/showthread.php?t=201495 новые логи и карантин отправил

**thyrex** · 21.06.2016, 08:58

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**CyberHelper** · 21.06.2016, 09:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\mpck\otutnetwork.exe - not-a-virus:HEUR:Downloader.MSIL.Temonde.gen

Удалились все расширения хрома, главная страница Trotux [not-a-virus:HEUR:Downloader.MSIL.Temonde.gen ] (заявка № 201495)

Опции темы