Показано с 1 по 8 из 8.

Mupad защитником не удаляется [Trojan.Win32.SelfDel.fyox, not-a-virus:RiskTool.Win64.BitCoinMiner.cwo ] (заявка № 213961)

  1. #1
    Junior Member Репутация
    Регистрация
    15.10.2011
    Сообщений
    32
    Вес репутации
    46

    Mupad защитником не удаляется [Trojan.Win32.SelfDel.fyox, not-a-virus:RiskTool.Win64.BitCoinMiner.cwo ]

    Доброе утро! После пользования торрентом, на столе появился полный спектр продукции мэйл ру, защитник постоянно находит угрозу, а браузер пестрит рекламой(((


    Заранее спасибо за помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) machdem, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Practising Student Репутация
    Регистрация
    25.07.2016
    Адрес
    Москва
    Сообщений
    237
    Вес репутации
    29
    Здравствуйте!

    1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    * Распакуйте архив с утилитой в отдельную папку.
    * Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

    * Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    * Прикрепите этот отчет к своему следующему сообщению.

    2. Вы сами устанавливали это ПО?
    Код:
    C:\Users\Илья\AppData\Local\slack\app-2.6.3\slack.exe
    3. Уточните, это ваши настройки DNS серверов?
    Код:
    NameServer = 81.171.10.42
    NameServer = 82.202.226.203
    NameServer = 94.130.44.229
    Вы сами их прописали или ваш провайдер?

    4. Временно отключите защитное ПО.

    Выполните скрипт AVZ.
    Код:
    begin
     TerminateProcessByName('c:\users\Илья\appdata\local\yc\application\yc.exe');
     TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
     TerminateProcessByName('c:\windows\microsoft\svchost.exe');
     TerminateProcessByName('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe');
     TerminateProcessByName('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe');
     TerminateProcessByName('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe');
     TerminateProcessByName('c:\users\Илья\appdata\roaming\microsoft\msi.exe');
     StopService('SvcHost Service Host');
     DeleteService('SvcHost Service Host');
     QuarantineFile('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe','');
     QuarantineFile('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe','');
     QuarantineFile('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe','');
     QuarantineFile('c:\windows\microsoft\svchost.exe','');
     QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
     QuarantineFile('C:\Users\Илья\appdata\roaming\microsoft\msi.exe','');
     QuarantineFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll','');
     QuarantineFileF('C:\Program Files (x86)\YiuAskU2', '*', false, '', 0, 0);
     QuarantineFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll','');
     QuarantineFileF('C:\Program Files (x86)\YiuAskU', '*', false, '', 0, 0);
     QuarantineFile('C:\Users\75BD~1\AppData\Roaming\setupsk\ml.py','');
     QuarantineFileF('C:\Users\75BD~1\AppData\Roaming\setupsk', '*', false, '', 0, 0);
     QuarantineFile('C:\Users\Илья\AppData\Local\ifgker\ifgker.exe','');
     QuarantineFileF('C:\Users\Илья\AppData\Local\ifgker', '*', false, '', 0, 0);
     QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','');
     QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','');
     QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\yc.exe','');
     QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libegl.dll','');
     QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll','');
     QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll','');
     QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome.dll','');
     QuarantineFile('c:\users\Илья\appdata\local\yc\application\yc.exe','');
     DeleteFile('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe','32');
     DeleteFile('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe','32');
     DeleteFile('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe','32');
     DeleteFile('c:\windows\microsoft\svchost.exe','32');
     DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
     DeleteFile('c:\users\Илья\appdata\local\yc\application\yc.exe','32');
     DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome.dll','32');
     DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll','32');
     DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll','32');
     DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libegl.dll','32');
     DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll','32');
     DeleteFileMask('C:\Users\Илья\AppData\Local\yc','*',true);
     DeleteDirectory('C:\Users\Илья\AppData\Local\yc');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_1A2ECEBD8CAF628B0ABCC52539410BED');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uqicximtdz');
     DeleteFile('C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job','32');
     DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B','64');
     DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2','64');
     DeleteFile('C:\Windows\system32\Tasks\curl','64');
     DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','32');
     DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\curls','64');
     DeleteFileMask('C:\Users\Илья\AppData\Roaming\curl','*',true);
     DeleteDirectory('C:\Users\Илья\AppData\Roaming\curl');
     DeleteFile('C:\Windows\system32\Tasks\ifgker','64');
     DeleteFile('C:\Users\Илья\AppData\Local\ifgker\ifgker.exe','32');
     DeleteFileMask('C:\Users\Илья\AppData\Local\ifgker','*',true);
     DeleteDirectory('C:\Users\Илья\AppData\Local\ifgker');
     DeleteFile('C:\Windows\system32\Tasks\MSI','64');
     DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
     DeleteFile('C:\Users\75BD~1\AppData\Roaming\setupsk\ml.py','32');
     DeleteFile('C:\Users\75BD~1\AppData\Roaming\setupsk\python\pythonw.exe','32');
     DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\setupsk','*',true);
     DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\setupsk');
     DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64');
     DeleteFile('C:\Windows\system32\Tasks\U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B','64');
     DeleteFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll','32');
     DeleteFileMask('C:\Program Files (x86)\YiuAskU2','*',true);
     DeleteDirectory('C:\Program Files (x86)\YiuAskU2');
     DeleteFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll','32');
     DeleteFileMask('C:\Program Files (x86)\YiuAskU','*',true);
     DeleteDirectory('C:\Program Files (x86)\YiuAskU');
    ExecuteSysClean;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteWizard('TSW',2,3,true);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните скрипт AVZ.
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
    end.
    5. Пришлите архив карантина из папки AVZ.

    6. Сделайте новые логи программой Autologger и пришлите их.

    7. Сделайте лог утилитой AdwCleaner и пришлите его.

    8. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Последний раз редактировалось Vvvyg; 19.07.2017 в 22:15.

  5. #4
    Junior Member Репутация
    Регистрация
    15.10.2011
    Сообщений
    32
    Вес репутации
    46
    В режиме инкогнито рекламы нет, а в обычном...

    - - - - -Добавлено - - - - -

    слак мой, остальное нет

    - - - - -Добавлено - - - - -

    карантин загружен 170719_225856_quarantine_596fba00d5f1e

    - - - - -Добавлено - - - - -

    Вроде все прикрепил
    Вложения Вложения

  6. #5
    Practising Student Репутация
    Регистрация
    25.07.2016
    Адрес
    Москва
    Сообщений
    237
    Вес репутации
    29
    1. Удалите в AdwCleaner всё найденное. Отчет после удаления прикрепите.

    2. Выполните скрипт AVZ.
    Код:
    begin
    ExecuteRepair(21);
    end.
    и перезагрузите компьютер вручную.

    3. Присланный файл Addition.txt неполный, в нем меньше половины. Пришлите полный файл. Возможно, придется переделать логи Farbar

    4. Отключите все расширения в Chrome, затем включайте по одному и наблюдайте за проблемой.

  7. #6
    Junior Member Репутация
    Регистрация
    15.10.2011
    Сообщений
    32
    Вес репутации
    46
    Все еще актуально

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Ответ в сообщении №5
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\yiuasku\iw3d7ud.dll - not-a-virus:AdWare.Win32.Neoreklami.gnm
      2. c:\program files (x86)\yiuasku2\81q7xn9.dll - not-a-virus:AdWare.Win32.Neoreklami.gnx ( BitDefender: Gen:Variant.Barys.6979 )
      3. c:\users\илья\appdata\roaming\microsoft\msi.exe - HEUR:Trojan.Win32.Generic
      4. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.fyox
      5. c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo


  • Уважаемый(ая) machdem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал Trojan:win32/mupad.d
      От kevgen в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2017, 12:58
    2. Помогите. Mupad.A не удаляется
      От Path в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 21.03.2017, 09:18
    3. Вирус Trojan: Win32/Mupad.A. Помогите удалить!
      От Tinolele в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.01.2017, 14:22
    4. подхватила вирус Trojan: Win32/Mupad.A.
      От tanyasokolovskaya в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.01.2017, 16:33
    5. Ответов: 14
      Последнее сообщение: 24.01.2014, 23:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00936 seconds with 17 queries