Вирус на компе: открываются вкладки в браузере сами по себе [not-a-virus:RiskTool.Win64.BitCoinMiner.dew, UDS:DangerousObject.Multi.Generic
]
Добрый день.
к сожалению, после несанкционированного доступа моего брата к компьютеру, комп полностью заражен вирусами. Помимо мало того, что каждые 2 сек открывается новая страница в браузере, еще и комп висит.
Причем даже при запуске AutoLogger, утилита AVZ зависает при выполнении исследовании системы http://joxi.ru/82QYVjVFjWpa12.
Помогите пожалуйста
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) NikaR, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Удалось провести полную проверку при отключенном интернете
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe'); TerminateProcessByName('C:\Windows\Temp\g868.tmp.exe'); TerminateProcessByName('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe'); StopService('wfcre'); QuarantineFile('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe', ''); QuarantineFile('C:\Windows\Temp\g868.tmp.exe', ''); QuarantineFile('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe', ''); QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', ''); QuarantineFile('C:\Program Files\CCleaner\MOBBAFM33V\zJdamwzQA0.exe', ''); QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0); QuarantineFile('C:\Users\Ника\AppData\Local\30c512ef474549938a746af4941d665a\7i3mNU8zRMZnc.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\d0fbbc9aaa1a402b9ed8e9c968608a23\hBHN8hfj6II.exe', ''); QuarantineFile('C:\ProgramData\f48467b556974691916dca7c83ad9c88\11WGsMLt6RxVP.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\01d0fef1786e4154b425e92f8558940b\qCfRvJOooDTL.exe', ''); QuarantineFile('C:\ProgramData\bdfadd877e724bafa30df9c2cbdab539\tpvjugh6NAtFH.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\8d469451b704497d84fcbaee6c255e18\ABh46amvf.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\e34799bc5a1143e4b4461ac845e91834\r7vSvVxyJDe.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\b19ad9a68b4148198ec10a378807245f\hRj5GZNPG.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\64cd3ea34148410fb95651eafa51d426\Yv0EIPuRK.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\Temp\3aa871f0f4dc4c1eac53626d99e3006b\amHsfqmgVSsYq.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\Temp\2ce18946783a42bbbaf946e307f64119\bm5KfsRu.exe', ''); QuarantineFile('C:\ProgramData\43c63d60fb1748048bd63f1b873aac18\NnIYSN4WXI5.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\073d7fbba9204d62b8e6d5ef5dc81e23\yJILLdsR7.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\bfe45c913dee4896a4c49cf9ef0cdaf8\ppuLFBsQvHjU.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\Temp\6d4bb921070b4dd0bc7af7a38cbe0a11\UmrqpNx.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\e41d64d6c4da4be7ab2d8b8061d22115\0sWDvCmOGFPk6.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\76324486e17e41fd87a0f44b4f5c9cbf\qGUEM3SCxKbyf.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\1203acfb67574ba8b49c369f32a1129f\dvRDwYqr.exe', ''); QuarantineFile('C:\ProgramData\7c9f8639cf75482cbd63179d18851b5b\HZ5CYs7chtEc.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\6a0003cb6b454675843db1f1f4db552d\RFxyguILh.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\e3dc2cb6f393499cac804e797f505519\lGINXFGa.exe', ''); QuarantineFile('C:\ProgramData\5af6371eee474e84afbcf9f2af4e397b\C7P9Ifbaj.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\092935287e824c29836704390dbb776c\ejTg8Rv3RC.exe', ''); QuarantineFile('C:\ProgramData\2ee22d68c7df48708d6c859fd9adafff\I8IpMrYv4gHU.exe', ''); QuarantineFile('C:\Program Files\DOH4A4WX3U\DY46F55XYYDLH9Q\Jm+' + Chr(39) + '3qM9pD.exe', ''); QuarantineFile('C:\WINDOWS\TEMP\g867.tmp.exe', ''); QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\ml.py', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\app.py', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\Eeffa\Dfcea.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Services\Dcdaa\Dbbaf.exe', ''); QuarantineFile('C:\ProgramData\WindowsReporting\wermgr.exe', ''); QuarantineFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Roaming\Event Monitor\em.exe', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\setupsk\ml.py', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\setupsk\python\pythonw.exe', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\ml.py', ''); QuarantineFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', ''); QuarantineFile('C:\Users\Ника\AppData\Local\Microsoft\TaskPlay\caches.dat', ''); QuarantineFile('C:\Program Files (x86)\iWebar\Uninstall.exe', ''); QuarantineFile('C:\Users\Ника\appdata\roaming\event monitor\isxdl.dll', ''); QuarantineFile('C:\Users\Ника\appdata\roaming\gplyra\gplyra.exe', ''); DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job', '64'); DeleteFile('C:\ProgramData\673f351eba5b4862995435981ee77770\bqJiFLiHKz1.exe', '32'); DeleteFile('C:\Windows\Temp\g868.tmp.exe', '32'); DeleteFile('C:\Program Files\Samsung\783P65OWZS7QNK2AR2STVOTDKXX\H56Wv21uIP.exe', '32'); DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32'); DeleteFile('C:\Program Files\CCleaner\MOBBAFM33V\zJdamwzQA0.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\30c512ef474549938a746af4941d665a\7i3mNU8zRMZnc.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\d0fbbc9aaa1a402b9ed8e9c968608a23\hBHN8hfj6II.exe', '32'); DeleteFile('C:\ProgramData\f48467b556974691916dca7c83ad9c88\11WGsMLt6RxVP.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\01d0fef1786e4154b425e92f8558940b\qCfRvJOooDTL.exe', '32'); DeleteFile('C:\ProgramData\bdfadd877e724bafa30df9c2cbdab539\tpvjugh6NAtFH.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\8d469451b704497d84fcbaee6c255e18\ABh46amvf.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\e34799bc5a1143e4b4461ac845e91834\r7vSvVxyJDe.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\b19ad9a68b4148198ec10a378807245f\hRj5GZNPG.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\64cd3ea34148410fb95651eafa51d426\Yv0EIPuRK.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\Temp\3aa871f0f4dc4c1eac53626d99e3006b\amHsfqmgVSsYq.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\Temp\2ce18946783a42bbbaf946e307f64119\bm5KfsRu.exe', '32'); DeleteFile('C:\ProgramData\43c63d60fb1748048bd63f1b873aac18\NnIYSN4WXI5.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\073d7fbba9204d62b8e6d5ef5dc81e23\yJILLdsR7.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\bfe45c913dee4896a4c49cf9ef0cdaf8\ppuLFBsQvHjU.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\Temp\6d4bb921070b4dd0bc7af7a38cbe0a11\UmrqpNx.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\e41d64d6c4da4be7ab2d8b8061d22115\0sWDvCmOGFPk6.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\76324486e17e41fd87a0f44b4f5c9cbf\qGUEM3SCxKbyf.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\1203acfb67574ba8b49c369f32a1129f\dvRDwYqr.exe', '32'); DeleteFile('C:\ProgramData\7c9f8639cf75482cbd63179d18851b5b\HZ5CYs7chtEc.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\6a0003cb6b454675843db1f1f4db552d\RFxyguILh.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\e3dc2cb6f393499cac804e797f505519\lGINXFGa.exe', '32'); DeleteFile('C:\ProgramData\5af6371eee474e84afbcf9f2af4e397b\C7P9Ifbaj.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\092935287e824c29836704390dbb776c\ejTg8Rv3RC.exe', '32'); DeleteFile('C:\ProgramData\2ee22d68c7df48708d6c859fd9adafff\I8IpMrYv4gHU.exe', '32'); DeleteFile('C:\Program Files\DOH4A4WX3U\DY46F55XYYDLH9Q\Jm+' + Chr(39) + '3qM9pD.exe', '32'); DeleteFile('C:\WINDOWS\TEMP\g867.tmp.exe', '32'); DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\ml.py', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\BESTSA~1\app.py', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\Eeffa\Dfcea.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\Dcdaa\Dbbaf.exe', '32'); DeleteFile('C:\ProgramData\WindowsReporting\wermgr.exe', '32'); DeleteFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Roaming\Event Monitor\em.exe', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\setupsk\ml.py', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\setupsk\python\pythonw.exe', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\ml.py', '32'); DeleteFile('C:\Users\AB31~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '32'); DeleteFile('C:\Users\Ника\AppData\Local\Microsoft\TaskPlay\caches.dat', '32'); DeleteFile('C:\Program Files (x86)\iWebar\Uninstall.exe', '32'); DeleteFile('C:\Users\Ника\appdata\roaming\event monitor\isxdl.dll', '32'); DeleteFile('C:\Users\Ника\appdata\roaming\gplyra\gplyra.exe', '32'); DeleteService('wfcre'); DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true); DeleteFileMask('c:\programdata\673f351eba5b4862995435981ee77770', '*', true); DeleteFileMask('c:\program files (x86)\microleaves', '*', true); DeleteFileMask('c:\users\ab31~1\appdata\roaming\bestsa~1', '*', true); DeleteFileMask('c:\users\ника\appdata\roaming\eeffa', '*', true); DeleteFileMask('c:\program files (x86)\common files\services', '*', true); DeleteFileMask('c:\programdata\windowsreporting', '*', true); DeleteFileMask('c:\program files (x86)\pc clean plus', '*', true); DeleteFileMask('c:\users\ника\appdata\roaming\event monitor', '*', true); DeleteFileMask('c:\users\ab31~1\appdata\roaming\setupsk', '*', true); DeleteFileMask('c:\users\ab31~1\appdata\roaming\setups~1', '*', true); DeleteFileMask('c:\users\ника\appdata\local\microsoft\taskplay', '*', true); DeleteFileMask('c:\program files (x86)\iwebar', '*', true); DeleteFileMask('c:\users\ника\appdata\roaming\gplyra', '*', true); DeleteDirectory('c:\programdata\673f351eba5b4862995435981ee77770'); DeleteDirectory('c:\program files (x86)\microleaves'); DeleteDirectory('c:\users\ab31~1\appdata\roaming\bestsa~1'); DeleteDirectory('c:\users\ника\appdata\roaming\eeffa'); DeleteDirectory('c:\program files (x86)\common files\services'); DeleteDirectory('c:\programdata\windowsreporting'); DeleteDirectory('c:\program files (x86)\pc clean plus'); DeleteDirectory('c:\users\ника\appdata\roaming\event monitor'); DeleteDirectory('c:\users\ab31~1\appdata\roaming\setupsk'); DeleteDirectory('c:\users\ab31~1\appdata\roaming\setups~1'); DeleteDirectory('c:\users\ника\appdata\local\microsoft\taskplay'); DeleteDirectory('c:\program files (x86)\iwebar'); DeleteDirectory('c:\users\ника\appdata\roaming\gplyra'); DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}'); ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Feafd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Bdbfc" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Defrag\Ccebf" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Diagnosis\Dcbfd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Maintenance\Feafd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\Fabaa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\MUI\Ebeef" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Shell\Bdbfc" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Shell\Feafd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SideShow\Fabaa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Error Reporting\Beede" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Error Reporting\ErrorReporting" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "pc clean plus_updates" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Updater_Online_Application" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{C8226825-BD66-4069-87C5-C53C19D0A5FA}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{CF564732-9ECC-4E49-B24C-28FF7C278A39}" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'zJdamwzQA0.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7i3mNU8zRMZnc.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hBHN8hfj6II.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '11WGsMLt6RxVP.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qCfRvJOooDTL.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tpvjugh6NAtFH.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ABh46amvf.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'r7vSvVxyJDe.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hRj5GZNPG.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yv0EIPuRK.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amHsfqmgVSsYq.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bm5KfsRu.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NnIYSN4WXI5.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'yJILLdsR7.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ppuLFBsQvHjU.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UmrqpNx.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '0sWDvCmOGFPk6.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qGUEM3SCxKbyf.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dvRDwYqr.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HZ5CYs7chtEc.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RFxyguILh.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lGINXFGa.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C7P9Ifbaj.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ejTg8Rv3RC.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'I8IpMrYv4gHU.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bqJiFLiHKz1.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Lahin_Raw_barra_al3eb_b3id_Jm+'3qM9pD.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Lahin_Raw_barra_al3eb_b3id_H56Wv21uIP.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'NIKA'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); ExecuteRepair(4); ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Добрый день
Образ не удается прикрепить, превышает предел форума.
Карантин отправила
Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
WBR,
Vadim
http://rgho.st/7b2V6LLsFСообщение от Vvvyg
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Отключите до перезагрузки антивирус, закройте все браузеры. Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\TEMP\G8BBC.TMP.EXE addsgn BA6F9BB2BDD54A720B9C2D754C2190FBDA75303AC9A957FB69E38D3155C59F4F235F488E76DC9CBFE981F095FC0E49FA7D374288AA25F8A7EE3F27EBE75DE1BF 8 Win64.BitCoinMiner.dfq [Kaspersky] 7 zoo %SystemRoot%\TEMP\G7EFA.TMP.EXE addsgn BA6F9BB2BDCD4A720B9C2D754C2190FBDA75303AC9A957FB69E38D3789E5B8B33618CF563E1D1682D4957A944716B6EF75D3E9721D5178962473A4EF8F85E653 8 Win64/Wdfload.S [ESET-NOD32] 7 zoo %SystemRoot%\C_IRUX.DAT addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B861744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4005AD038CAEEBF 58 variant of Win64/CoinMiner.BO [ESET] 6 zoo %SystemDrive%\PROGRAM FILES\NOVO\NOVOOPT.EXE addsgn BA6F9BB2BD4149720B9C2D754C2164FBDA75303AC9A957FB69E38D37899EFA8E6B9ACEC215559D01A28BCC12151E7A333556E23ADC90B864A03FACC715002273 15 RiskTool.BitCoinMiner.ehz [Jiangmin] 7 zoo %SystemDrive%\PROGRAM FILES\NOVO\WINDRIVER.EXE addsgn BA6F9BB2BD4149720B9C2D754C2164FBDA75303AC9A957FB69E38D37899EFA8E6B9ACEFA19559D01A28BCC12151E7A333556E23ADC90B864A03FACC76B002273 15 RiskTool.BitCoinMiner.ehz [Jiangmin] 7 chklst delvir delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU deldir %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK uidel MsiExec.exe /I{1B1E5D56-F816-4690-BAE1-9405E0BFD74B} delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\MUI\DEFAULT\RESOURCE\KSEE\EQNEDIT.EXE delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\ET.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\ET.EXE delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPS.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPP.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPS.EXE delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5785\OFFICE6\WPP.EXE deldir %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\KINGOSOFT\KINGO ROOT\UPDATE_58142\BIN delref %SystemDrive%\PROGRAM FILES (X86)\HPWHALE\HPWHALESRV.EXE delref %SystemDrive%\PROGRAMDATA\HANDSETSERVICE\HUAWEIHISUITESERVICE64.EXE deldir %SystemDrive%\PROGRAM FILES\NOVO regt 27 deltmp delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2SSV.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2SSV.DLL delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\K1I0YMX59.DLL delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\TG9EAPIJP.DLL delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B12910581-2F37-4CC8-A54F-F9E7438AC36B%7D&GP=811041 delref HTTP://MAIL.RU/CNT/10445?GP=811040 delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\PLUGIN2\NPJP2.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\PLUGIN2\NPJP2.DLL delref HTTP://MAIL.RU/CNT/10445?GP=811036 delref HTTP://MAIL.RU/CNT/7993/ delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\НИКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CMHOMIPKKLCKPOMAFALOJOBPPMMIDLGL\0.1.4_0\БЛОКИРОВЩИК РЕКЛАМЫ ДЛЯ ЮТУБА™ delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\EREPORTER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\NORTON 360\ENGINE\21.7.0.11\SYMERR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\NORTON 360\ENGINE\21.7.0.11\WSCSTUB.EXE apply czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Систама обновляется?
WBR,
Vadim
прикрепила
нет, не обновляется
Очень плохо. Потому что вирусы лезут в Вашем случае по большей части через незакрытые уязвимости системы, пока их не закроете - лечить дальше бесполезно. Система официальная? Тогда надо обновлять по полной программе.
Установите хотя бы накопительный пакет обновления для Windows 10 Version 1607 для систем на базе процессоров x64 (KB4013429), затем такой лог сделайте.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
WBR,
Vadim
я прошу прощения, возможно я не правильно вопрос поняла. Windows я обнавляю сразу же, когда выходит новый пакет. Система официальная.
http://joxi.ru/5md7k1ktkLDjdr
Последний раз редактировалось NikaR; 12.09.2017 в 09:22.
Антивирус обычно включен? В системе такой зоопарк, что не похоже, что 360 Total Security при делах...AV: 360 Total Security (Disabled - Up to date) {0371CA44-3F80-A1D3-BECE-910620B58D50}
AS: 360 Total Security (Disabled - Up to date) {B8102BA0-19BA-AE5D-847E-AA745B32C7ED}
Другие компьютеры в сети домашней есть?
Сохраните файл из вложения в папку с Farbar Recovery Scan Tool (на рабочий стол).
fixlist.txt
Отключите до перезагрузки антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Да, обычно включен. брат устанавливал различные программы, тотал ругался, он вместо блокировать нажимал разрешить.
нет
Сейчас сделаю
- - - - -Добавлено - - - - -
вот файл
Хорошо, не отключайте антивирус постоянно, только на время работы утилит, используемых на этом форуме лучше отключать, чтобы конфликтов не было.
Проведите полное сканирование антивирусом, наверняка, найдётся ещё немало гадости по закромам.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
проверка длилась 7-8 часов ( обнаружено было всего 17 угроз. все удалены. повторная проверка угроз не обнаружила.
- - - - -Добавлено - - - - -
проверка длилась 7-8 часов ( обнаружено было всего 17 угроз. все удалены. повторная проверка угроз не обнаружила.
прикрепила.
После предпоследних действий, комп работать стал получше, а после удаления угроз антивирусником опять начал тормозить (
Это субъективно, скорее всего.
В целях безопасности обновите браузеры и продукты Adobe.Adobe AIR v.13.0.0.111 Внимание! Скачать обновления
Adobe Flash Player 19 NPAPI v.19.0.0.245 Внимание! Скачать обновления
Adobe Reader X (10.1.16) MUI v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.51.0.2704.63 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
У этой программы карма не очень, и детект по VirusTotal есть. А в общем - порядок.Код:C:\USERS\НИКА\DESKTOP\ANAR\ITOOLS 3\ITOOLSDAEMON.EXE
WBR,
Vadim
Спасибо большое!!!! Огромное спасибо!!
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Уважаемый(ая) NikaR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
