Здравствуйте! Помогите пожалуйста удалить следы вируса "захар".
Здравствуйте! Помогите пожалуйста удалить следы вируса "захар".
Уважаемый(ая) pipendrusu, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\ProgramData\TaskbarWindows\enplus.exe', ''); QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe', ''); QuarantineFile('C:\Users\raymond\AppData\Local\iKywe.exe', ''); QuarantineFile('C:\Users\raymond\AppData\Roaming\QOEJq.exe', ''); QuarantineFile('C:\Windows\SYSWOW64\conhost64.exe', ''); QuarantineFile('C:\Windows\TADSUINS.EXE', ''); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\TaskbarWindows\enplus.exe', '32'); DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe', '32'); DeleteFile('C:\Users\raymond\AppData\Local\iKywe.exe', '32'); DeleteFile('C:\Users\raymond\AppData\Roaming\QOEJq.exe', '32'); DeleteFile('C:\Windows\SYSWOW64\conhost64.exe'); DeleteFile('C:\Windows\TADSUINS.EXE'); ExecuteFile('schtasks.exe', '/delete /TN "{31C9AE72-50AC-EB80-7778-EB47D8981581}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{5265D977-A24E-1B79-34C7-D9588317B9B4}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\QuickLaunch" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Starter" /F', 0, 15000, true); DeleteService('Starter Check'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\programdata\taskbarwindows', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\programdata\taskbarwindows'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
FRST логи.
AVZ удалось запустить только в безопасном режиме, выключалась программа даже при переименовывании файла запуска (avz.exe). Карантин прислал тоже.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKU\S-1-5-21-1810130350-314517609-2942759641-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811021 HKU\S-1-5-21-1810130350-314517609-2942759641-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru SearchScopes: HKU\S-1-5-21-1810130350-314517609-2942759641-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BEC99B05B-9271-497B-8AD3-38418B51AC36%7D&gp=811022 SearchScopes: HKU\S-1-5-21-1810130350-314517609-2942759641-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BEC99B05B-9271-497B-8AD3-38418B51AC36%7D&gp=811022 ZIP: C:\Windows\Minidump\041818-20953-01.dmp 2018-04-18 18:09 - 2018-04-18 18:07 - 002625898 _____ C:\Users\raymond\Desktop\quarantine.zip 2018-04-18 18:06 - 2018-04-18 18:06 - 000284336 _____ C:\Windows\Minidump\041818-20953-01.dmp 2018-04-16 19:09 - 2018-04-16 19:09 - 000284176 _____ C:\Windows\Minidump\041618-29328-01.dmp VirusTotal: C:\Windows\SysWOW64\TCHAR_x64.int 2018-04-12 18:14 - 2018-04-18 18:06 - 325110676 _____ C:\Windows\MEMORY.DMP 2018-04-12 18:14 - 2018-04-18 18:06 - 000000000 ____D C:\Windows\Minidump 2018-04-12 18:14 - 2018-04-12 18:14 - 000284336 _____ C:\Windows\Minidump\041218-20921-01.dmp CMD: type C:\ProgramData\check.txt VirusTotal: C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe 30598-05-30 11:27 - 30598-05-30 11:27 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe 2018-04-09 22:41 - 2018-04-09 22:41 - 000554496 _____ () C:\Users\raymond\AppData\Local\Temp\Converter.exe 2018-04-09 22:42 - 2018-04-09 22:42 - 002170880 _____ () C:\Users\raymond\AppData\Local\Temp\installer_mi.exe 2018-03-30 11:00 - 2018-03-30 11:00 - 001864256 _____ (Oracle Corporation) C:\Users\raymond\AppData\Local\Temp\jre-8u161-windows-au.exe 2018-04-09 22:42 - 2018-04-09 22:42 - 002311864 _____ () C:\Users\raymond\AppData\Local\Temp\mailruhomesearch.exe 2018-04-09 22:42 - 2018-04-09 22:42 - 017011526 _____ (VSUISOFTE ) C:\Users\raymond\AppData\Local\Temp\setup.exe 2018-04-09 22:41 - 2018-04-09 22:41 - 013210162 _____ (Google Inc.) C:\Users\raymond\AppData\Local\Temp\tulbar.exe 2018-04-09 22:42 - 2018-04-09 22:42 - 000259592 _____ () C:\Users\raymond\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe Task: {32FF58C4-515C-43B4-84C3-88630CAEBAFC} - System32\Tasks\Microsoft\Windows\Starter => C:\ProgramData\TaskbarWindows\winstar.exe Task: {4C3F8E0A-7BFC-4F82-9F3E-9C3AB40D25D5} - System32\Tasks\{31C9AE72-50AC-EB80-7778-EB47D8981581} => C:\Users\raymond\AppData\Local\iKywe.exe Task: {C7E085E4-B6F1-42D4-8B1C-A45D890A84DD} - System32\Tasks\{5265D977-A24E-1B79-34C7-D9588317B9B4} => C:\Users\raymond\AppData\Roaming\QOEJq.exe <==== ATTENTION Task: {D21CE716-713D-4648-8004-F2C311563DBD} - System32\Tasks\Microsoft\QuickLaunch => C:\ProgramData\TaskbarWindows\winstar.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, прикрепите его к сообщению.
Сообщите, что с проблемой.
WBR,
Vadim
пока проблем нет, спасибо.
Создайте такой fixlist.txt в папке с FRST:и в FRST нажмите один раз Fix (без перезагрузки). Новый Fixlog.txt прикрепите.Код:C:\Program Files (x86)\Common Files\VCIwiuiqOGQY.exe C:\Windows\SysWOW64\TCHAR_x64.int CMD: md C:\Windows\Minidump
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
логи
Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Устанавливайте:Хотфикс KB4012212 закрывает опаснейшую уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры.------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
Это тоже нужно обновить:-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.186 Внимание! Скачать обновления
Adobe Flash Player 24 NPAPI v.24.0.0.186 Внимание! Скачать обновления
Adobe Flash Player 24 PPAPI v.24.0.0.186 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 52.0.2871.40 v.52.0.2871.40 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\syswow64\conhost64.exe - HEUR:HackTool.Win64.Phider.gen
Уважаемый(ая) pipendrusu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.