Показано с 1 по 20 из 20.

Вирус на компе: открываются вкладки в браузере сами по себе [not-a-virus:RiskTool.Win64.BitCoinMiner.dew, UDS:DangerousObject.Multi.Generic ] (заявка № 215054)

  1. #1
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23

    Thumbs up Вирус на компе: открываются вкладки в браузере сами по себе [not-a-virus:RiskTool.Win64.BitCoinMiner.dew, UDS:DangerousObject.Multi.Generic ]

    Добрый день.
    к сожалению, после несанкционированного доступа моего брата к компьютеру, комп полностью заражен вирусами. Помимо мало того, что каждые 2 сек открывается новая страница в браузере, еще и комп висит.
    Причем даже при запуске AutoLogger, утилита AVZ зависает при выполнении исследовании системы http://joxi.ru/82QYVjVFjWpa12.
    Помогите пожалуйста

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,416
    Вес репутации
    340
    Уважаемый(ая) NikaR, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23

    Логи

    Удалось провести полную проверку при отключенном интернете
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe');
     TerminateProcessByName('C:\Windows\Temp\g868.tmp.exe');
     TerminateProcessByName('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe');
     StopService('wfcre');
     QuarantineFile('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe', '');
     QuarantineFile('C:\Windows\Temp\g868.tmp.exe', '');
     QuarantineFile('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe', '');
     QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
     QuarantineFile('C:\Program Files\CCleaner\MOBBAFM33V\zJdamwzQA0.exe', '');
     QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0);
     QuarantineFile('C:\Users\Ника\AppData\Local\30c512ef474549938a746af4941d665a\7i3mNU8zRMZnc.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\d0fbbc9aaa1a402b9ed8e9c968608a23\hBHN8hfj6II.exe', '');
     QuarantineFile('C:\ProgramData\f48467b556974691916dca7c83ad9c88\11WGsMLt6RxVP.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\01d0fef1786e4154b425e92f8558940b\qCfRvJOooDTL.exe', '');
     QuarantineFile('C:\ProgramData\bdfadd877e724bafa30df9c2cbdab539\tpvjugh6NAtFH.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\8d469451b704497d84fcbaee6c255e18\ABh46amvf.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\e34799bc5a1143e4b4461ac845e91834\r7vSvVxyJDe.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\b19ad9a68b4148198ec10a378807245f\hRj5GZNPG.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\64cd3ea34148410fb95651eafa51d426\Yv0EIPuRK.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\Temp\3aa871f0f4dc4c1eac53626d99e3006b\amHsfqmgVSsYq.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\Temp\2ce18946783a42bbbaf946e307f64119\bm5KfsRu.exe', '');
     QuarantineFile('C:\ProgramData\43c63d60fb1748048bd63f1b873aac18\NnIYSN4WXI5.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\073d7fbba9204d62b8e6d5ef5dc81e23\yJILLdsR7.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\bfe45c913dee4896a4c49cf9ef0cdaf8\ppuLFBsQvHjU.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\Temp\6d4bb921070b4dd0bc7af7a38cbe0a11\UmrqpNx.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\e41d64d6c4da4be7ab2d8b8061d22115\0sWDvCmOGFPk6.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\76324486e17e41fd87a0f44b4f5c9cbf\qGUEM3SCxKbyf.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\1203acfb67574ba8b49c369f32a1129f\dvRDwYqr.exe', '');
     QuarantineFile('C:\ProgramData\7c9f8639cf75482cbd63179d18851b5b\HZ5CYs7chtEc.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\6a0003cb6b454675843db1f1f4db552d\RFxyguILh.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\e3dc2cb6f393499cac804e797f505519\lGINXFGa.exe', '');
     QuarantineFile('C:\ProgramData\5af6371eee474e84afbcf9f2af4e397b\C7P9Ifbaj.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\092935287e824c29836704390dbb776c\ejTg8Rv3RC.exe', '');
     QuarantineFile('C:\ProgramData\2ee22d68c7df48708d6c859fd9adafff\I8IpMrYv4gHU.exe', '');
     QuarantineFile('C:\Program Files\DOH4A4WX3U\DY46F55XYYDLH9Q\Jm+' + Chr(39) + '3qM9pD.exe', '');
     QuarantineFile('C:\WINDOWS\TEMP\g867.tmp.exe', '');
     QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\ml.py', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\app.py', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\Eeffa\Dfcea.exe', '');
     QuarantineFile('C:\Program Files (x86)\Common Files\Services\Dcdaa\Dbbaf.exe', '');
     QuarantineFile('C:\ProgramData\WindowsReporting\wermgr.exe', '');
     QuarantineFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Roaming\Event Monitor\em.exe', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\setupsk\ml.py', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\setupsk\python\pythonw.exe', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\ml.py', '');
     QuarantineFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '');
     QuarantineFile('C:\Users\Ника\AppData\Local\Microsoft\TaskPlay\caches.dat', '');
     QuarantineFile('C:\Program Files (x86)\iWebar\Uninstall.exe', '');
     QuarantineFile('C:\Users\Ника\appdata\roaming\event monitor\isxdl.dll', '');
     QuarantineFile('C:\Users\Ника\appdata\roaming\gplyra\gplyra.exe', '');
     DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job', '64');
     DeleteFile('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe', '32');
     DeleteFile('C:\Windows\Temp\g868.tmp.exe', '32');
     DeleteFile('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe', '32');
     DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
     DeleteFile('C:\Program Files\CCleaner\MOBBAFM33V\zJdamwzQA0.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\30c512ef474549938a746af4941d665a\7i3mNU8zRMZnc.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\d0fbbc9aaa1a402b9ed8e9c968608a23\hBHN8hfj6II.exe', '32');
     DeleteFile('C:\ProgramData\f48467b556974691916dca7c83ad9c88\11WGsMLt6RxVP.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\01d0fef1786e4154b425e92f8558940b\qCfRvJOooDTL.exe', '32');
     DeleteFile('C:\ProgramData\bdfadd877e724bafa30df9c2cbdab539\tpvjugh6NAtFH.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\8d469451b704497d84fcbaee6c255e18\ABh46amvf.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\e34799bc5a1143e4b4461ac845e91834\r7vSvVxyJDe.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\b19ad9a68b4148198ec10a378807245f\hRj5GZNPG.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\64cd3ea34148410fb95651eafa51d426\Yv0EIPuRK.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\Temp\3aa871f0f4dc4c1eac53626d99e3006b\amHsfqmgVSsYq.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\Temp\2ce18946783a42bbbaf946e307f64119\bm5KfsRu.exe', '32');
     DeleteFile('C:\ProgramData\43c63d60fb1748048bd63f1b873aac18\NnIYSN4WXI5.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\073d7fbba9204d62b8e6d5ef5dc81e23\yJILLdsR7.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\bfe45c913dee4896a4c49cf9ef0cdaf8\ppuLFBsQvHjU.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\Temp\6d4bb921070b4dd0bc7af7a38cbe0a11\UmrqpNx.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\e41d64d6c4da4be7ab2d8b8061d22115\0sWDvCmOGFPk6.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\76324486e17e41fd87a0f44b4f5c9cbf\qGUEM3SCxKbyf.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\1203acfb67574ba8b49c369f32a1129f\dvRDwYqr.exe', '32');
     DeleteFile('C:\ProgramData\7c9f8639cf75482cbd63179d18851b5b\HZ5CYs7chtEc.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\6a0003cb6b454675843db1f1f4db552d\RFxyguILh.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\e3dc2cb6f393499cac804e797f505519\lGINXFGa.exe', '32');
     DeleteFile('C:\ProgramData\5af6371eee474e84afbcf9f2af4e397b\C7P9Ifbaj.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\092935287e824c29836704390dbb776c\ejTg8Rv3RC.exe', '32');
     DeleteFile('C:\ProgramData\2ee22d68c7df48708d6c859fd9adafff\I8IpMrYv4gHU.exe', '32');
     DeleteFile('C:\Program Files\DOH4A4WX3U\DY46F55XYYDLH9Q\Jm+' + Chr(39) + '3qM9pD.exe', '32');
     DeleteFile('C:\WINDOWS\TEMP\g867.tmp.exe', '32');
     DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\ml.py', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\app.py', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\Eeffa\Dfcea.exe', '32');
     DeleteFile('C:\Program Files (x86)\Common Files\Services\Dcdaa\Dbbaf.exe', '32');
     DeleteFile('C:\ProgramData\WindowsReporting\wermgr.exe', '32');
     DeleteFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Roaming\Event Monitor\em.exe', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\setupsk\ml.py', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\setupsk\python\pythonw.exe', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\ml.py', '32');
     DeleteFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '32');
     DeleteFile('C:\Users\Ника\AppData\Local\Microsoft\TaskPlay\caches.dat', '32');
     DeleteFile('C:\Program Files (x86)\iWebar\Uninstall.exe', '32');
     DeleteFile('C:\Users\Ника\appdata\roaming\event monitor\isxdl.dll', '32');
     DeleteFile('C:\Users\Ника\appdata\roaming\gplyra\gplyra.exe', '32');
     DeleteService('wfcre');
     DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true);
     DeleteFileMask('c:\programdata\673f351eba5b4862995435981ee77770', '*', true);
     DeleteFileMask('c:\program files (x86)\microleaves', '*', true);
     DeleteFileMask('c:\users\ab31~1\appdata\roaming\bestsa~1', '*', true);
     DeleteFileMask('c:\users\ника\appdata\roaming\eeffa', '*', true);
     DeleteFileMask('c:\program files (x86)\common files\services', '*', true);
     DeleteFileMask('c:\programdata\windowsreporting', '*', true);
     DeleteFileMask('c:\program files (x86)\pc clean plus', '*', true);
     DeleteFileMask('c:\users\ника\appdata\roaming\event monitor', '*', true);
     DeleteFileMask('c:\users\ab31~1\appdata\roaming\setupsk', '*', true);
     DeleteFileMask('c:\users\ab31~1\appdata\roaming\setups~1', '*', true);
     DeleteFileMask('c:\users\ника\appdata\local\microsoft\taskplay', '*', true);
     DeleteFileMask('c:\program files (x86)\iwebar', '*', true);
     DeleteFileMask('c:\users\ника\appdata\roaming\gplyra', '*', true);
     DeleteDirectory('c:\programdata\673f351eba5b4862995435981ee77770');
     DeleteDirectory('c:\program files (x86)\microleaves');
     DeleteDirectory('c:\users\ab31~1\appdata\roaming\bestsa~1');
     DeleteDirectory('c:\users\ника\appdata\roaming\eeffa');
     DeleteDirectory('c:\program files (x86)\common files\services');
     DeleteDirectory('c:\programdata\windowsreporting');
     DeleteDirectory('c:\program files (x86)\pc clean plus');
     DeleteDirectory('c:\users\ника\appdata\roaming\event monitor');
     DeleteDirectory('c:\users\ab31~1\appdata\roaming\setupsk');
     DeleteDirectory('c:\users\ab31~1\appdata\roaming\setups~1');
     DeleteDirectory('c:\users\ника\appdata\local\microsoft\taskplay');
     DeleteDirectory('c:\program files (x86)\iwebar');
     DeleteDirectory('c:\users\ника\appdata\roaming\gplyra');
     DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
     ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Feafd" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Bdbfc" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Defrag\Ccebf" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Diagnosis\Dcbfd" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Maintenance\Feafd" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\Fabaa" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\MUI\Ebeef" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Shell\Bdbfc" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Shell\Feafd" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SideShow\Fabaa" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Error Reporting\Beede" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Error Reporting\ErrorReporting" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "pc clean plus_updates" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Updater_Online_Application" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{C8226825-BD66-4069-87C5-C53C19D0A5FA}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{CF564732-9ECC-4E49-B24C-28FF7C278A39}" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'zJdamwzQA0.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7i3mNU8zRMZnc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hBHN8hfj6II.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '11WGsMLt6RxVP.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qCfRvJOooDTL.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tpvjugh6NAtFH.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ABh46amvf.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'r7vSvVxyJDe.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hRj5GZNPG.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yv0EIPuRK.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amHsfqmgVSsYq.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bm5KfsRu.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NnIYSN4WXI5.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'yJILLdsR7.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ppuLFBsQvHjU.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UmrqpNx.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '0sWDvCmOGFPk6.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qGUEM3SCxKbyf.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dvRDwYqr.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HZ5CYs7chtEc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RFxyguILh.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lGINXFGa.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C7P9Ifbaj.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ejTg8Rv3RC.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'I8IpMrYv4gHU.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bqJiFLiHKz1.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Lahin_Raw_barra_al3eb_b3id_Jm+'3qM9pD.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Lahin_Raw_barra_al3eb_b3id_H56Wv21uIP.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'NIKA');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(13);
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23

    Отчет

    Добрый день
    Образ не удается прикрепить, превышает предел форума.
    Карантин отправила
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
    http://rgho.st/7b2V6LLsF

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    zoo %SystemRoot%\TEMP\G8BBC.TMP.EXE
    addsgn BA6F9BB2BDD54A720B9C2D754C2190FBDA75303AC9A957FB69E38D3155C59F4F235F488E76DC9CBFE981F095FC0E49FA7D374288AA25F8A7EE3F27EBE75DE1BF 8 Win64.BitCoinMiner.dfq [Kaspersky] 7
    
    zoo %SystemRoot%\TEMP\G7EFA.TMP.EXE
    addsgn BA6F9BB2BDCD4A720B9C2D754C2190FBDA75303AC9A957FB69E38D3789E5B8B33618CF563E1D1682D4957A944716B6EF75D3E9721D5178962473A4EF8F85E653 8 Win64/Wdfload.S [ESET-NOD32] 7
    
    zoo %SystemRoot%\C_IRUX.DAT
    addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B861744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4005AD038CAEEBF 58 variant of Win64/CoinMiner.BO [ESET] 6
    zoo %SystemDrive%\PROGRAM FILES\NOVO\NOVOOPT.EXE
    addsgn BA6F9BB2BD4149720B9C2D754C2164FBDA75303AC9A957FB69E38D37899EFA8E6B9ACEC215559D01A28BCC12151E7A333556E23ADC90B864A03FACC715002273 15 RiskTool.BitCoinMiner.ehz [Jiangmin] 7
    
    zoo %SystemDrive%\PROGRAM FILES\NOVO\WINDRIVER.EXE
    addsgn BA6F9BB2BD4149720B9C2D754C2164FBDA75303AC9A957FB69E38D37899EFA8E6B9ACEFA19559D01A28BCC12151E7A333556E23ADC90B864A03FACC76B002273 15 RiskTool.BitCoinMiner.ehz [Jiangmin] 7
    
    chklst
    delvir
    
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
    deldir %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK
    uidel MsiExec.exe /I{1B1E5D56-F816-4690-BAE1-9405E0BFD74B}
    delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\MUI\DEFAULT\RESOURCE\KSEE\EQNEDIT.EXE
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\ET.EXE
    delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\ET.EXE
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPS.EXE
    delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPP.EXE
    delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPS.EXE
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPP.EXE
    deldir %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGOSOFT\KINGO ROOT\UPDATE_58142\BIN
    delref %SystemDrive%\PROGRAM FILES (X86)\HPWHALE\HPWHALESRV.EXE
    delref %SystemDrive%\PROGRAMDATA\HANDSETSERVICE\HUAWEIHISUITESERVICE64.EXE
    deldir %SystemDrive%\PROGRAM FILES\NOVO
    regt 27
    deltmp
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2SSV.DLL
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2SSV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\K1I0YMX59.DLL
    delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\TG9EAPIJP.DLL
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B12910581-2F37-4CC8-A54F-F9E7438AC36B%7D&GP=811041
    delref HTTP://MAIL.RU/CNT/10445?GP=811040
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\PLUGIN2\NPJP2.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\PLUGIN2\NPJP2.DLL
    delref HTTP://MAIL.RU/CNT/10445?GP=811036
    delref HTTP://MAIL.RU/CNT/7993/
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CMHOMIPKKLCKPOMAFALOJOBPPMMIDLGL\0.1.4_0\БЛОКИРОВЩИК РЕКЛАМЫ ДЛЯ ЮТУБА™
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\EREPORTER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON 360\ENGINE\21.7.0.11\SYMERR.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON 360\ENGINE\21.7.0.11\WSCSTUB.EXE
    apply
    czoo
    restart
    Отключите до перезагрузки антивирус, закройте все браузеры. Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Систама обновляется?
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    прикрепила

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Систама обновляется?
    нет, не обновляется
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Очень плохо. Потому что вирусы лезут в Вашем случае по большей части через незакрытые уязвимости системы, пока их не закроете - лечить дальше бесполезно. Система официальная? Тогда надо обновлять по полной программе.
    Установите хотя бы накопительный пакет обновления для Windows 10 Version 1607 для систем на базе процессоров x64 (KB4013429), затем такой лог сделайте.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    я прошу прощения, возможно я не правильно вопрос поняла. Windows я обнавляю сразу же, когда выходит новый пакет. Система официальная.
    http://joxi.ru/5md7k1ktkLDjdr
    Вложения Вложения
    • Тип файла: zip log.zip (117.4 Кб, 1 просмотров)
    Последний раз редактировалось NikaR; 12.09.2017 в 09:22.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    AV: 360 Total Security (Disabled - Up to date) {0371CA44-3F80-A1D3-BECE-910620B58D50}
    AS: 360 Total Security (Disabled - Up to date) {B8102BA0-19BA-AE5D-847E-AA745B32C7ED}
    Антивирус обычно включен? В системе такой зоопарк, что не похоже, что 360 Total Security при делах...

    Другие компьютеры в сети домашней есть?

    Сохраните файл из вложения в папку с Farbar Recovery Scan Tool (на рабочий стол).
    fixlist.txt

    Отключите до перезагрузки антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Антивирус обычно включен? В системе такой зоопарк, что не похоже, что 360 Total Security при делах...
    Да, обычно включен. брат устанавливал различные программы, тотал ругался, он вместо блокировать нажимал разрешить.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Другие компьютеры в сети домашней есть?
    нет



    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Отключите до перезагрузки антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Сейчас сделаю

    - - - - -Добавлено - - - - -

    вот файл
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Хорошо, не отключайте антивирус постоянно, только на время работы утилит, используемых на этом форуме лучше отключать, чтобы конфликтов не было.

    Проведите полное сканирование антивирусом, наверняка, найдётся ещё немало гадости по закромам.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Проведите полное сканирование антивирусом, наверняка, найдётся ещё немало гадости по закромам.
    проверка длилась 7-8 часов ( обнаружено было всего 17 угроз. все удалены. повторная проверка угроз не обнаружила.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Приложите этот файл к своему следующему сообщению.
    - - - - -Добавлено - - - - -

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Проведите полное сканирование антивирусом, наверняка, найдётся ещё немало гадости по закромам.
    проверка длилась 7-8 часов ( обнаружено было всего 17 угроз. все удалены. повторная проверка угроз не обнаружила.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Приложите этот файл к своему следующему сообщению.
    прикрепила.

    После предпоследних действий, комп работать стал получше, а после удаления угроз антивирусником опять начал тормозить (
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Цитата Сообщение от NikaR Посмотреть сообщение
    После предпоследних действий, комп работать стал получше, а после удаления угроз антивирусником опять начал тормозить
    Это субъективно, скорее всего.

    Adobe AIR v.13.0.0.111 Внимание! Скачать обновления
    Adobe Flash Player 19 NPAPI v.19.0.0.245 Внимание! Скачать обновления
    Adobe Reader X (10.1.16) MUI v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.51.0.2704.63 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Google Chrome!^
    В целях безопасности обновите браузеры и продукты Adobe.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  18. #17
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Код:
    C:\USERS\НИКА\DESKTOP\ANAR\ITOOLS 3\ITOOLSDAEMON.EXE
    У этой программы карма не очень, и детект по VirusTotal есть. А в общем - порядок.
    WBR,
    Vadim

  20. #19
    Junior Member Репутация
    Регистрация
    09.08.2011
    Сообщений
    47
    Вес репутации
    23
    Спасибо большое!!!! Огромное спасибо!!

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,905
    Вес репутации
    822
    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  • Уважаемый(ая) NikaR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин 415DD0339EED9A87476EB7195749802A [UDS:DangerousObject.Multi.Generic, not-a-virus:RiskTool.Win64.BitCoinMiner.cvt ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 16.07.2017, 05:10
    2. Ответов: 18
      Последнее сообщение: 09.03.2017, 18:33
    3. Карантин 6E452BEEFD378FF494C01291C4DC112B [UDS:DangerousObject.Multi.Generic, not-a-virus:RiskTool.Win64.BitCoinMiner.fm ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.02.2017, 13:09
    4. Карантин 061562905950CB6F5FD68EC3B4042BF7 [UDS:DangerousObject.Multi.Generic, not-a-virus:RiskTool.Win64.BitCoinMiner.hc ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.02.2017, 00:17
    5. Карантин 2DEA81066D202146110AA44AF42B7FDE [UDS:DangerousObject.Multi.Generic, not-a-virus:RiskTool.Win64.BitCoinMiner.ky ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 03.08.2014, 03:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01436 seconds with 18 queries