логи которые смог сделать прикрепил, еще 1 лог не удается, программа просто закрывается
логи которые смог сделать прикрепил, еще 1 лог не удается, программа просто закрывается
Уважаемый(ая) rus_off, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Кирилл\AppData\Roaming\WindowsUpdater\Updater.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); QuarantineFile('C:\ProgramData\Lamzap\Lamzap.exe',''); QuarantineFile('C:\ProgramData\Lamzap\Gravecof.dat',''); QuarantineFile('C:\Users\Кирилл\AppData\Local\MzIzNTM1MzA=\s_inst.exe',''); QuarantineFile('C:\Users\Кирилл\AppData\Local\MzIzNTM0Mzc=\s_inst.exe',''); QuarantineFile('C:\Windows\bioware\Lamdex.exe',''); QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Solin\Icetexon.exe',''); QuarantineFile('C:\Program Files\Common Files\Plexway\Sumdrill.exe',''); QuarantineFile('C:\Program Files\Hiprain\Update\HiprainUpdate.exe',''); QuarantineFile('C:\PROGRA~1\7073E19\34a3E86.bat',''); QuarantineFile('C:\Users\Кирилл\AppData\Roaming\UrlControl_\url_opener.exe',''); QuarantineFile('C:\Users\C523~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk',''); SetServiceStart('Phujitythaseengprm.exe', 4); DeleteService('Phujitythaseengprm.exe'); QuarantineFile('C:\Program Files\Shuqogeclaale\Phujitythaseengprm.exe',''); SetServiceStart('Stripcity', 4); DeleteService('Stripcity'); SetServiceStart('Freshlex', 4); DeleteService('Freshlex'); TerminateProcessByName('c:\users\Кирилл\appdata\roaming\stripcity\stripcity.exe'); QuarantineFile('c:\users\Кирилл\appdata\roaming\stripcity\stripcity.exe',''); TerminateProcessByName('c:\users\Кирилл\appdata\roaming\freshlex\freshlex.exe'); QuarantineFile('c:\users\Кирилл\appdata\roaming\freshlex\freshlex.exe',''); DeleteFile('c:\users\Кирилл\appdata\roaming\freshlex\freshlex.exe','32'); DeleteFile('c:\users\Кирилл\appdata\roaming\stripcity\stripcity.exe','32'); DeleteFile('C:\Program Files\Shuqogeclaale\Phujitythaseengprm.exe','32'); DeleteFile('C:\Users\C523~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk','32'); DeleteFile('C:\PROGRA~1\7073E19\34a3E86.bat','32'); DeleteFile('C:\Windows\system32\Tasks\b2929b72a96a471893ecaa9c51368bae','32'); DeleteFile('C:\Program Files\Common Files\Plexway\Sumdrill.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DiskDiagnostic\Opertaing System Transaction Task','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\SecurityCenterUpdate','32'); DeleteFile('C:\Users\Кирилл\AppData\Roaming\Solin\Icetexon.exe','32'); DeleteFile('C:\Windows\bioware\Lamdex.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\MUI\Msectrans','32'); DeleteFile('C:\Users\Кирилл\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','32'); DeleteFile('C:\Windows\system32\Tasks\MzIzNTM0Mzc=','32'); DeleteFile('C:\Windows\system32\Tasks\MzIzNTM1MzA=','32'); DeleteFile('C:\Users\Кирилл\AppData\Local\MzIzNTM1MzA=\s_inst.exe','32'); DeleteFile('C:\ProgramData\Lamzap\Gravecof.dat','32'); DeleteFile('C:\ProgramData\Lamzap\Lamzap.exe','32'); DeleteFile('C:\Windows\system32\Tasks\noob','32'); DeleteFile('C:\ProgramData\WindowsMsg\osmsg.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Phujitythase Engine','32'); DeleteFile('C:\Windows\system32\Tasks\osTip','32'); DeleteFile('C:\Users\Кирилл\AppData\Roaming\WindowsUpdater\Updater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог Check Browsers' LNK
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнить 3 скрипт в AVZ снова не удалось, закрывается программа без всяких уведомлений. карантин отправил
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал, 2 лога в архиве
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: CHR HKU\S-1-5-21-2907446813-1451724277-954440647-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsQWOSn-gDX621Hrxp7WwP7f08OFET02Wln6AnCCLFEOl6TDcYMukcKJp9s2qdYkq020deP68VWYNcNhaZGY_3OD-bWGKpX0UUyial-NFTr07Ax42nk-yiyNLP3IhbWASCjNXabKfvsGcyR6bs0DZC9EVw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2907446813-1451724277-954440647-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsQWOSn-gDX621Hrxp7WwP7f08OFET02Wln6AnCCLFEOl6TDcYMukcKJp9s2qdYkq020deP68VWYNcNhaZGY_3OD-bWGKpX0UUyial-NFTr07Ax42nk-yiyNLP3IhbWASCjNXabKfvsGcyR6bs0DZC9EVw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2907446813-1451724277-954440647-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsQWOSn-gDX621Hrxp7WwP7f08OFET02Wln6AnCCLFEOl6TDcYMukcKJp9s2qdYkq020deP68VWYNcNhaZGY_3OD-bWGKpX0UUyial-NFTr07Ax42nk-yiyNLP3IhbWASCjNXabKfvsGcyR6bs0DZC9EVw,,&q={searchTerms} FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Кирилл\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack FF Extension: SuperMegaBest.com - C:\Users\Кирилл\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-15] [not signed] 2016-08-02 11:02 - 2016-08-02 11:02 - 00000000 ____D C:\Users\Кирилл\ventocorporation 2016-08-02 11:02 - 2016-08-02 11:02 - 00000000 ____D C:\Users\Все пользователи\Tempkix 2016-08-02 11:02 - 2016-08-02 11:02 - 00000000 ____D C:\ProgramData\Tempkix 2016-08-02 11:02 - 2016-08-02 11:02 - 00000000 ____D C:\Program Files\tan-how 2016-08-02 11:01 - 2016-08-02 11:01 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Plexway 2016-08-02 11:01 - 2016-08-02 11:01 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Zerron 2016-08-02 11:01 - 2016-08-02 11:01 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Stripdom 2016-08-02 11:01 - 2016-08-02 11:01 - 00000000 ____D C:\Program Files\Green-trans 2016-08-02 11:01 - 2016-08-02 11:01 - 00000000 ____D C:\Program Files\Common Files\quadhow 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Tranzone 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\O-techno 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Users\Все пользователи\Trippleace 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Users\Все пользователи\Coneex 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\ProgramData\Trippleace 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\ProgramData\Coneex 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Program Files\Common Files\howtrans 2016-08-01 09:10 - 2016-08-01 09:10 - 00000000 ____D C:\Program Files\Common Files\doubletaxon 2016-08-01 08:16 - 2016-08-02 13:08 - 00000000 ____D C:\Windows\bioware 2016-08-01 08:16 - 2016-08-02 13:08 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Solin 2016-08-01 08:16 - 2016-08-02 13:08 - 00000000 ____D C:\Program Files\Common Files\Plexway 2016-08-01 08:15 - 2016-08-01 08:15 - 00000000 ____D C:\Windows\Zunzamfix 2016-08-01 08:15 - 2016-08-01 08:15 - 00000000 ____D C:\Users\Кирилл\Fasedom 2016-08-01 08:15 - 2016-08-01 08:15 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Joydexon 2016-08-01 08:15 - 2016-08-01 08:15 - 00000000 ____D C:\Program Files\Common Files\Zencorporation 2016-08-01 08:15 - 2016-08-01 08:15 - 00000000 ____D C:\Program Files\Common Files\Indigo-code 2016-07-31 21:55 - 2016-08-02 13:08 - 00000000 ____D C:\Users\Кирилл\Desktop\jhgfhjj 2016-07-31 21:35 - 2016-07-31 21:35 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\unolab 2016-07-31 21:35 - 2016-07-31 21:35 - 00000000 ____D C:\Users\Все пользователи\dantexon 2016-07-31 21:35 - 2016-07-31 21:35 - 00000000 ____D C:\ProgramData\dantexon 2016-07-31 21:35 - 2016-07-31 21:35 - 00000000 ____D C:\Program Files\Tranzone 2016-07-31 21:34 - 2016-07-31 21:34 - 00000000 ____D C:\Users\Кирилл\true-line 2016-07-31 21:34 - 2016-07-31 21:34 - 00000000 ____D C:\Users\Кирилл\Rankgreen 2016-07-31 21:34 - 2016-07-31 21:34 - 00000000 ____D C:\Users\Кирилл\In-house 2016-07-31 21:34 - 2016-07-31 21:34 - 00000000 ____D C:\Users\Кирилл\Flextouch 2016-07-31 21:29 - 2016-07-31 21:29 - 00000000 ____D C:\Users\Кирилл\Tracing 2016-07-31 20:10 - 2016-08-02 13:11 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Freshlex 2016-07-31 20:10 - 2016-08-02 13:08 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Stripcity 2016-07-31 20:10 - 2016-08-02 11:02 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Rankgreen 2016-07-31 20:10 - 2016-07-31 20:10 - 00000000 ____D C:\Windows\J-bela 2016-07-31 20:10 - 2016-07-31 20:10 - 00000000 ____D C:\Program Files\Statdexon 2016-07-31 20:09 - 2016-07-31 20:10 - 00000000 ____D C:\Users\Кирилл\Plextone 2016-07-31 20:09 - 2016-07-31 20:09 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Dontrax 2016-07-31 20:09 - 2016-07-31 20:09 - 00000000 ____D C:\Program Files\Howkix 2016-07-31 20:09 - 2016-07-31 20:09 - 00000000 ____D C:\Program Files\Common Files\Kondrill 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Windows\Dontrax 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Users\Кирилл\Fasedexon 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Zenlane 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Program Files\Vivabecan 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Program Files\Quocane 2016-07-31 17:33 - 2016-07-31 17:33 - 00000000 ____D C:\Program Files\Common Files\Cone-plus 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\Users\Все пользователи\Strongcon 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\Users\Все пользователи\Hotsolhigh 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\ProgramData\Strongcon 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\ProgramData\Hotsolhigh 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\Program Files\Common Files\Zenlane 2016-07-31 17:27 - 2016-07-31 17:27 - 00000000 ____D C:\Program Files\Common Files\Ronlux 2016-07-31 17:26 - 2016-07-31 17:26 - 00000000 ____D C:\Users\Все пользователи\zotelectronics 2016-07-31 17:26 - 2016-07-31 17:26 - 00000000 ____D C:\ProgramData\zotelectronics 2016-07-31 17:26 - 2016-07-31 17:26 - 00000000 ____D C:\Program Files\Solo-job 2016-07-31 17:18 - 2016-07-31 17:18 - 00000000 ____D C:\Program Files\Common Files\Siltrans 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\Windows\Joymedbase 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\Windows\Iceit 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\Windows\Dripholdings 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Lamdex 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\Users\Все пользователи\Overtechi 2016-07-31 17:17 - 2016-07-31 17:17 - 00000000 ____D C:\ProgramData\Overtechi 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Sumdrill 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Program Files\Techijob 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Program Files\Techiholding 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Program Files\Movecore 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Program Files\Common Files\Solin 2016-07-31 15:47 - 2016-07-31 15:47 - 00000000 ____D C:\Program Files\codezap 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Windows\Plexway 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Users\Все пользователи\Zaamcom 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Users\Все пользователи\unaelectrics 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\ProgramData\Zaamcom 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\ProgramData\unaelectrics 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Program Files\quadhow 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Program Files\Common Files\Flexplex 2016-07-31 12:44 - 2016-07-31 12:44 - 00000000 ____D C:\Program Files\Common Files\Donquote 2016-07-30 11:48 - 2016-07-30 11:48 - 00002397 _____ C:\Windows\system32\findit.xml 2016-07-30 11:28 - 2016-07-31 14:05 - 00000000 ____D C:\Users\Все пользователи\WindowsMsg 2016-07-30 11:28 - 2016-07-31 14:05 - 00000000 ____D C:\ProgramData\WindowsMsg 2016-07-30 11:27 - 2016-08-02 13:08 - 00000000 ____D C:\Program Files\Shuqogeclaale 2016-07-30 11:26 - 2016-08-02 13:11 - 00000412 _____ C:\Windows\Tasks\UrlControl.job 2016-07-30 11:22 - 2016-07-31 12:30 - 00000000 ____D C:\Program Files\MPC Cleaner C:\Users\Кириллsdk\AVD Manager.exe C:\Users\Кириллsdk\SDK Manager.exe AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [162] AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [162] Task: {FD18D419-BF49-4878-8F14-808AE5CDC645} - \osTip -> No File <==== ATTENTION Task: {DAD0B861-DDAE-4950-A360-AF930033E2F0} - \b2929b72a96a471893ecaa9c51368bae -> No File <==== ATTENTION Task: {8ABE236F-0C9D-4CE2-9508-DA83F2387BF1} - \Microsoft\Windows\DiskDiagnostic\Opertaing System Transaction Task -> No File <==== ATTENTION Task: {798186DE-D05B-4CC2-9371-6AEEE1482664} - \WindowsUpdater -> No File <==== ATTENTION Task: {6ABAD73C-8BC5-4416-A6AC-EE4EE6AD68D9} - \Microsoft\Windows\Media Center\SecurityCenterUpdate -> No File <==== ATTENTION Task: {6BF740B3-4DF8-47BB-B414-8719204405CA} - \noob -> No File <==== ATTENTION Task: {6DDAF198-AA9B-4A5F-AE86-DC6ED59D471C} - \MzIzNTM0Mzc= -> No File <==== ATTENTION Task: {6DFD9302-6F5A-42AD-BB59-E4F32E1C503E} - \Microsoft\Windows\MUI\Msectrans -> No File <==== ATTENTION Task: {3F79CE89-8A3D-4E04-810C-A178772A21BC} - \MzIzNTM1MzA= -> No File <==== ATTENTION Task: {08634D34-A2BC-43CF-AE5D-8DF6B891FE4A} - \Phujitythase Engine -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в chrome не понятное расширение, не удаляется(нижние 2).
И еще, аваст нашел Dropper-gen. в папке temp
процесс svchost.exe занимает 900мб, раньше такого не было никогда
Последний раз редактировалось rus_off; 03.08.2016 в 13:55.
Сделайте лог AdwCleaner
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
Отметьте и удалите все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь