Уважаемый(ая) АлександрБочкареф, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Код:O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: {3C86BE1C-4EC1-A738-E570-1632EBD9BDF5} - C:\Users\Home\wPTeWAio.exe /q /i http://escoredo.net/pmpdgczcivuw.jti O22 - Task: {5FA7BA38-CD75-0F21-DE18-9C847B861026} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=j99rxdpl7dzurgl2zt14wzhixj3md9sn&prid=1&pid=5_1301_15162 O22 - Task: {677E7F4B-0346-A1B6-7A51-129EA6F3B283} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=vwza0ixmu9ignbms4iuh5vrgv2x3isy4&prid=1&pid=6_1308_16385 O22 - Task: {7953E319-E9D4-C77F-F6D2-4D4F512DA5B1} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=bk1mkkf05265qaz44vb8vkj9b7qzw2ax&prid=1&pid=6_1308_16385 O22 - Task: {8A621F43-535F-D89F-AD8B-104A41C76BDF} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=fif8dzmkkt2zl83q7sc2zo36ye97f5zk&prid=1&pid=6_1308_16385 O22 - Task: {A994EE23-6323-4073-6DD8-873C63CC3044} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=ovc4bq6n48s3484ldgdhhu29tk9026kh&prid=1&pid=5_1301_22938 O22 - Task: {AA94825F-EC30-C701-1201-97389DC9FA2C} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=3xpij6f5xupjc8o6yyjhovgzia3aubgo&prid=1&pid=5_1301_15162 O22 - Task: {D27EAA36-601D-4C9B-4AD4-D17419B73B6A} - C:\Program Files\Opera\52.0.2871.99\opera.exe http://sidited.net/cl/?guid=iyn4owzedr12elhyl5rt1lo523d3m78v&prid=1&pid=6_1308_16385 O22 - Task: {E5E0FF2D-419A-0519-6715-B12856AC657D} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=s5lxvwkn7adpk6innr1pp6z8atvhk5g3&prid=1&pid=6_1308_16385 O22 - Task: {E8F625A2-5BF6-93B3-FE4D-646E5B908DFF} - C:\Users\Home\AppData\Roaming\hbOitUyUN.exe /q /i http://escoredo.net/2le1qo5n2pvf.yew O22 - Task: {EF58D8E1-954C-DFEF-DD86-DE26D03BC2F1} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=7wspi8o5bxnu1x7a0f7mvzto9kyjftjc&prid=1&pid=5_1301_25059 O22 - Task: {F04C2C90-5835-255C-5003-91B43547109E} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=qbsl1o75b1ormjn48m2x4us1kei0mw53&prid=1&pid=6_1308_16385 O22 - Task: {F5FDF125-0C29-5900-8212-D99D8CCA99F4} - C:\Program Files\Opera\Launcher.exe http://sidited.net/cl/?guid=zx03js5qschash497ogml2ves5uwvq7l&prid=1&pid=6_1308_16385
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; StopService('hjlcibgjbhdcbbdifiiijedfbfkml'); DeleteService('hjlcibgjbhdcbbdifiiijedfbfkml'); QuarantineFile('C:\Users\Home\AppData\Roaming\hbOitUyUN.exe',''); QuarantineFile('C:\Users\Home\wPTeWAio.exe',''); QuarantineFile('C:\Windows\System32\assignedaccessmanagersvc.dll',''); QuarantineFile('C:\Users\Home\AppData\Local\Temp\hjlcibgjbhdcbbdifiiijedfbfkml.sys',''); DeleteFile('C:\Users\Home\AppData\Local\Temp\hjlcibgjbhdcbbdifiiijedfbfkml.sys','32'); ExecuteFile('schtasks.exe', '/delete /TN "{1C80C2C0-5017-C4DF-67FD-8CA715220B32}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{3C86BE1C-4EC1-A738-E570-1632EBD9BDF5}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{677E7F4B-0346-A1B6-7A51-129EA6F3B283}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{7953E319-E9D4-C77F-F6D2-4D4F512DA5B1}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8A621F43-535F-D89F-AD8B-104A41C76BDF}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8A621F43-535F-D89F-AD8B-104A41C76BDF}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{A994EE23-6323-4073-6DD8-873C63CC3044}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{AA94825F-EC30-C701-1201-97389DC9FA2C}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{D27EAA36-601D-4C9B-4AD4-D17419B73B6A}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{E5E0FF2D-419A-0519-6715-B12856AC657D}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{E8F625A2-5BF6-93B3-FE4D-646E5B908DFF}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{EF58D8E1-954C-DFEF-DD86-DE26D03BC2F1}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{F04C2C90-5835-255C-5003-91B43547109E}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{F5FDF125-0C29-5900-8212-D99D8CCA99F4}" /F', 0, 15000, true); DeleteFile('C:\Users\Home\wPTeWAio.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\hbOitUyUN.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикрепил
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Windows\system32\DRIVERS\ASACPI.sys File: C:\Windows\SysWOW64\Drivers\vdexmtk3.sys Folder: C:\ProgramData\Flash File: C:\Windows\system32\Drivers\lpsport.sys Folder: C:\82ace7d6-0197-474d-bf4b-a2043e72329b Folder: C:\Windows\system32\DAX3 Folder: C:\Windows\system32\DAX2 Folder: C:\Program Files\WinRAR1 File: C:\Program Files (x86)\eytqSAYACa.exe File: C:\Program Files (x86)\IelPiHgDOpBo.exe File: C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe File: C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe Task: {C205D259-194E-4FEF-B6BD-137DFA78F4A4} - System32\Tasks\AdobeUpdate => C:\Users\Home\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION Zip: C:\Program Files (x86)\eytqSAYACa.exe;C:\Program Files (x86)\IelPiHgDOpBo.exe;C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe;C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe;C:\Users\Home\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe;C:\Users\Home\wPTeWAio.exe AlternateDataStreams: C:\Users\Public\AppData:CSM [468] FirewallRules: [{7793E0C6-A4F9-4D5D-B1EB-F7544D15966B}] => (Allow) C:\Users\Home\wPTeWAio.exe FirewallRules: [{3AF4C0D8-1854-4B8C-B81F-9CFCC06DE45E}] => (Allow) C:\Users\Home\AppData\Roaming\hbOitUyUN.exe FirewallRules: [{531DF8BD-8FA7-404E-A05B-DB1F56128122}] => (Allow) C:\Windows\SysWOW64\EjHyEXsl.exe FirewallRules: [{711B4478-6DA3-44BF-8AD4-67FECB43FF0D}] => (Allow) C:\Windows\aUkwCevm.exe FirewallRules: [{A1D18929-B5A8-4377-987B-744669137027}] => (Allow) C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe FirewallRules: [{287DAD0C-5078-43D8-8FB9-94F3F75582C7}] => (Allow) C:\Program Files (x86)\eytqSAYACa.exe Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин, загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
- - - - -Добавлено - - - - -
Пока все нормально,страницы не открываются.Спасибо.
Знакома ли Вам?
Код:C:\Program Files (x86)\eytqSAYACa.exe C:\Program Files (x86)\IelPiHgDOpBo.exe C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Нет,не знаю что это.Удалять надо?
В указанных файлов угрозы незамечено, однако их расположение и название настораживает. Если Вы уверены, что они не используются легально у Вас на ПК, то выполните следующее:
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: C:\Program Files (x86)\eytqSAYACa.exe C:\Program Files (x86)\IelPiHgDOpBo.exe C:\Program Files (x86)\Common Files\UYEOgyItAYEHi.exe C:\Users\Home\AppData\Roaming\UCAjCvAzEByNi.exe Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\users\home\appdata\local\temp\hjlcibgjbhdcbbdif iiijedfbfkml.sys - UDS:DangerousObject.Multi.Generic
Уважаемый(ая) АлександрБочкареф, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.