Здравствуйте! Поймал вирус после скачивания файла. Теперь реклама лезет ото всюду, устанавливаются какие то программы. Каждые 5 минут всплывает окно с предложением выбрать программу для открытия определенного файла. В браузере Гугл Хром установилось расширение Lowcostbar, отключить его не получается. Утилита HijackThis не хочет делать логи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Николай Белов, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\mjhgkyv\AppData\Local\UCBrowser\User Data\Default\Extensions\pbnmnlipmkfkadfcdocgblonoccmolpe\3.0.1_0\bin\PPHelper\DriverInstallerX86.exe',''); QuarantineFile('C:\Users\mjhgkyv\appdata\roaming\aspackage\aspackage.exe',''); QuarantineFile('C:\Users\mjhgkyv\appdata\roaming\aspackage\uninstall.exe',''); QuarantineFile('C:\Users\mjhgkyv\appdata\roaming\mydesktop\linkme.exe',''); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe',''); QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\5.7.16400.16\Installer\chrmstp.exe',''); DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}'); QuarantineFile('C:\WINDOWS\system32\chtbrkg.dll',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Roaming\Adobe\Manager.exe',''); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe',''); QuarantineFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Roaming\SafeWeb\python\pythonw.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Roaming\SafeWeb\ml.py',''); QuarantineFile('C:\Program Files (x86)\Vubophsris\Qgyhlp.dll',''); QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Roaming\360bizhi\360wpsrv.exe',''); QuarantineFile('C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys',''); SetServiceStart('KuaiZipDrive', 4); SetServiceStart('ucdrv', 4); DeleteService('MaohaWifiNetPro'); DeleteService('ComputerZ_x64'); DeleteService('ucdrv'); DeleteService('KuaiZipDrive'); QuarantineFile('C:\Program Files (x86)\Windows Photo Viewer\uJAJL3UKbB3PsxTogxAkaz5r\4FtQ9brV.exe',''); QuarantineFile('C:\Program Files\353bcff08563bdd78e59ff6db6307347\d8417ca05f245ef1416f231c954de953.exe',''); SetServiceStart('UCBrowserSvc', 4); SetServiceStart('quhenuny', 4); SetServiceStart('MaohaWifiSvr', 4); SetServiceStart('Hotfresh', 4); SetServiceStart('GoogleChromeUpService', 4); DeleteService('GoogleChromeUpService'); DeleteService('Hotfresh'); DeleteService('MaohaWifiSvr'); DeleteService('quhenuny'); DeleteService('UCBrowserSvc'); DeleteService('353bcff08563bdd78e59ff6db6307347'); DeleteService('ProntSpooler'); QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys',''); QuarantineFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll',''); QuarantineFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\Updater\CheckUpdate.dll',''); QuarantineFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\tipsdll.dll',''); QuarantineFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\maohasubstat.dll',''); QuarantineFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\CrRpt.dll',''); TerminateProcessByName('C:\Program Files (x86)\sunnyday\XRWJZD.exe'); QuarantineFile('C:\Program Files (x86)\sunnyday\XRWJZD.exe',''); TerminateProcessByName('c:\program files (x86)\ucbrowser\application\5.7.16400.16\ucagent.exe'); TerminateProcessByName('c:\program files (x86)\ucbrowser\application\ucservice.exe'); QuarantineFile('c:\program files (x86)\ucbrowser\application\ucservice.exe',''); QuarantineFile('c:\program files (x86)\ucbrowser\application\5.7.16400.16\ucagent.exe',''); TerminateProcessByName('c:\programdata\service.exe'); QuarantineFile('c:\programdata\service.exe',''); TerminateProcessByName('c:\program files (x86)\greatmaker\maohawifi\maohawifisvr.exe'); QuarantineFile('c:\program files (x86)\greatmaker\maohawifi\maohawifisvr.exe',''); TerminateProcessByName('c:\program files\їмС№\x86\kzreport.exe'); QuarantineFile('c:\program files\їмС№\x86\kzreport.exe',''); TerminateProcessByName('c:\programdata\hotfresh\hotfresh.exe'); TerminateProcessByName('C:\Program Files\SpaceSoundPro\IO5K9A.exe'); TerminateProcessByName('c:\program files (x86)\35444335-1480563591-5635-304d-dc4a3edb477f\knsiadbf.tmpfs'); QuarantineFile('c:\program files (x86)\35444335-1480563591-5635-304d-dc4a3edb477f\knsiadbf.tmpfs',''); QuarantineFile('c:\programdata\hotfresh\hotfresh.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\IO5K9A.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\YZ4SDYOKN3\caster.exe',''); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\TG96S46OOE\caster.exe'); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\YZ4SDYOKN3\caster.exe'); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\D0V93ZFL3S.exe'); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\D5LLHTTEO0.exe'); TerminateProcessByName('C:\Program Files (x86)\DPower\E8DZR7EE8D.exe'); TerminateProcessByName('C:\Program Files (x86)\gamesdesktop\FCWX7U.exe'); TerminateProcessByName('C:\Program Files (x86)\sunnyday\FRKOPY.exe'); QuarantineFile('C:\Program Files (x86)\sunnyday\FRKOPY.exe',''); QuarantineFile('C:\Program Files (x86)\gamesdesktop\FCWX7U.exe',''); QuarantineFile('C:\Program Files (x86)\DPower\E8DZR7EE8D.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\D5LLHTTEO0.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\D0V93ZFL3S.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\TG96S46OOE\caster.exe',''); TerminateProcessByName('C:\Program Files (x86)\DPower\95VH9D.exe'); TerminateProcessByName('C:\Program Files (x86)\DPower\6AC5MM.exe'); TerminateProcessByName('C:\Program Files (x86)\DPower\5MM4YP.exe'); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\4KO7ZV3IP\4KO7ZV3IP.exe'); TerminateProcessByName('C:\Program Files\4HD1JU8GAK\4HD1JU8GA.exe'); TerminateProcessByName('C:\Users\mjhgkyv\AppData\Local\Temp\2M5AW0A023.exe'); QuarantineFile('C:\Program Files (x86)\DPower\95VH9D.exe',''); QuarantineFile('C:\Program Files (x86)\DPower\6AC5MM.exe',''); QuarantineFile('C:\Program Files (x86)\DPower\5MM4YP.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\4KO7ZV3IP\4KO7ZV3IP.exe',''); QuarantineFile('C:\Program Files\4HD1JU8GAK\4HD1JU8GA.exe',''); QuarantineFile('C:\Users\mjhgkyv\AppData\Local\Temp\2M5AW0A023.exe',''); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\2M5AW0A023.exe','32'); DeleteFile('C:\Program Files\4HD1JU8GAK\4HD1JU8GA.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\4KO7ZV3IP\4KO7ZV3IP.exe','32'); DeleteFile('C:\Program Files (x86)\DPower\5MM4YP.exe','32'); DeleteFile('C:\Program Files (x86)\DPower\6AC5MM.exe','32'); DeleteFile('C:\Program Files (x86)\DPower\95VH9D.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\TG96S46OOE\caster.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\D0V93ZFL3S.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\D5LLHTTEO0.exe','32'); DeleteFile('C:\Program Files (x86)\DPower\E8DZR7EE8D.exe','32'); DeleteFile('C:\Program Files (x86)\gamesdesktop\FCWX7U.exe','32'); DeleteFile('C:\Program Files (x86)\sunnyday\FRKOPY.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\Temp\YZ4SDYOKN3\caster.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\IO5K9A.exe','32'); DeleteFile('c:\programdata\hotfresh\hotfresh.exe','32'); DeleteFile('c:\program files (x86)\35444335-1480563591-5635-304d-dc4a3edb477f\knsiadbf.tmpfs','32'); DeleteFile('c:\program files\їмС№\x86\kzreport.exe','32'); DeleteFile('c:\program files (x86)\greatmaker\maohawifi\maohawifisvr.exe','32'); DeleteFile('c:\programdata\service.exe','32'); DeleteFile('c:\program files (x86)\ucbrowser\application\5.7.16400.16\ucagent.exe','32'); DeleteFile('c:\program files (x86)\ucbrowser\application\ucservice.exe','32'); DeleteFile('C:\Program Files (x86)\sunnyday\XRWJZD.exe','32'); DeleteFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\CrRpt.dll','32'); DeleteFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\maohasubstat.dll','32'); DeleteFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\tipsdll.dll','32'); DeleteFile('C:\Program Files (x86)\GreatMaker\MaohaWiFi\Updater\CheckUpdate.dll','32'); DeleteFile('c:\program files (x86)\ludashi\lpi\hpsvc.dll','32'); DeleteFile('c:\program files (x86)\ludashi\lpi\CheckHp.dll','32'); DeleteFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll','32'); DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32'); DeleteFile('C:\Program Files\353bcff08563bdd78e59ff6db6307347\d8417ca05f245ef1416f231c954de953.exe','32'); DeleteFile('C:\Program Files (x86)\Windows Photo Viewer\uJAJL3UKbB3PsxTogxAkaz5r\4FtQ9brV.exe','32'); DeleteFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys','32'); DeleteFile('C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DiskPower'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IS57SP95I7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','G5TVZY1YHQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KG9OO5MM0E'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SJIKQLOJ0V'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YIOH2ZJM9N'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EM5HZYLXEH'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4U6US7M6UJ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ComputerZ-Tray'); DeleteFile('C:\Users\mjhgkyv\AppData\Roaming\360bizhi\360wpsrv.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','360wp-srv'); DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osmsg'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2DE41SH3KN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PIV99MKM5S'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DE38UUQ9DU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8SQ0QNTILF'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','0NQ1D1B301'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FG179XOY99'); DeleteFile('C:\Program Files (x86)\Vubophsris\Qgyhlp.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Coelischizuward\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HpSvc\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll'); DeleteFile('C:\Users\mjhgkyv\AppData\Roaming\SafeWeb\ml.py','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Roaming\SafeWeb\python\pythonw.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32'); DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job','32'); DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdater.job','32'); DeleteFile('C:\ProgramData\vCore\VCore.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center\VCore','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64'); DeleteFile('C:\Users\mjhgkyv\AppData\Roaming\Adobe\Manager.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\osTip','64'); DeleteFile('C:\WINDOWS\system32\Tasks\SecureUpdater','64'); DeleteFile('C:\WINDOWS\system32\Tasks\UCBrowserUpdater','64'); DeleteFile('C:\WINDOWS\system32\Tasks\UCBrowserUpdaterCore','64'); DeleteFile('C:\WINDOWS\system32\chtbrkg.dll','32'); DeleteFile('C:\Program Files (x86)\UCBrowser\Application\5.7.16400.16\Installer\chrmstp.exe','32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32'); DeleteFile('C:\Users\mjhgkyv\appdata\roaming\mydesktop\linkme.exe','32'); DeleteFile('C:\Users\mjhgkyv\appdata\roaming\aspackage\uninstall.exe','32'); DeleteFile('C:\Users\mjhgkyv\appdata\roaming\aspackage\aspackage.exe','32'); DeleteFile('C:\Users\mjhgkyv\AppData\Local\UCBrowser\User Data\Default\Extensions\pbnmnlipmkfkadfcdocgblonoccmolpe\3.0.1_0\bin\PPHelper\DriverInstallerX86.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(15); RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
китайский браузер включается автоматически каждые 1,5-2 минуты. так же окно с предложением выбора программы для открытия файла. подмена архиватора на китайский. в службах есть пользователь _5a6f4-это не я. всё что связано с леново не моё. из трея в правом углу появляются окна рекламы.
напишите скрипт удаления всех программ, кроме программ Майкрософта.
Продолжение http://virusinfo.info/showthread.php?t=206483
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\dpower\e8dzr7ee8d.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\program files (x86)\dpower\5mm4yp.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\dpower\6ac5mm.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\dpower\95vh9d.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\gamesdesktop\fcwx7u.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\sunnyday\frkopy.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\sunnyday\xrwjzd.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\windows photo viewer\ujajl3ukbb3psxtogxakaz5r\4ftq9brv.exe - not-a-virus:WebToolbar.Win32.Agent.aeat
- c:\program files\spacesoundpro\io5k9a.exe - HEUR:Trojan.Win32.Generic
- c:\program files\spacesoundpro\uninstaller.exe - HEUR:Trojan.Win32.Generic
- c:\program files\353bcff08563bdd78e59ff6db6307347\d8417ca05f2 45ef1416f231c954de953.exe - not-a-virus:HEUR:Downloader.Win64.Generic
- c:\program files\4hd1ju8gak\4hd1ju8ga.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\programdata\service.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen ( BitDefender: Gen:Variant.Graftor.269178 )
- c:\programdata\windowsmsg\chrome.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen
- c:\users\mjhgkyv\appdata\local\temp\d0v93zfl3s.exe - HEUR:Trojan.Win32.Generic
- c:\users\mjhgkyv\appdata\local\temp\d5llhtteo0.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\users\mjhgkyv\appdata\local\temp\tg96s46ooe\cas ter.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\users\mjhgkyv\appdata\local\temp\yz4sdyokn3\cas ter.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\users\mjhgkyv\appdata\local\temp\2m5aw0a023.exe - HEUR:Trojan.Win32.Generic
- c:\users\mjhgkyv\appdata\local\temp\4ko7zv3ip\4ko7 zv3ip.exe - not-a-virus:AdWare.MSIL.Agent.acza
- c:\users\mjhgkyv\appdata\roaming\adobe\manager.exe - not-a-virus:AdWare.Win32.Agent.kbtm
- c:\users\mjhgkyv\appdata\roaming\aspackage\aspacka ge.exe - not-a-virus:AdWare.Win32.Vopak.cmuk
- c:\users\mjhgkyv\appdata\roaming\aspackage\uninsta ll.exe - not-a-virus:HEUR:AdWare.Win32.Generic
- c:\users\mjhgkyv\appdata\roaming\mydesktop\linkme. exe - not-a-virus:AdWare.Win32.Agent.jleq
Уважаемый(ая) Николай Белов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
