Жена что то скачала в интернете и запустила, после чего весь рабочий стол завален ярлыками со всяким хламом, браузер постоянно открывает сайт laserveradedomaina.com, при выключении компьютера система репортит о куче активных процессов установки приложений.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) HongKilDong, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI4 R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI4 R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC0arVdaKQ68sMExPc4QLmlfHt2xKCm2tB3mEiceBDNWlR5GSJjz0Nec1FXi5sn8GQno_V3bXyJEtJ8E1UzUIWSbd1wD R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI4 R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI43ZXl1rBc,&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI43ZXl1rBc,&q={searchTerms} - Search the web R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\ielnksrch [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBHN80V5Qf4-sHFTPIEgXNYK7JUi7aO3FlEwgWGPBpWOBz3_IaxsrZlkKaroKsK0fffp1iNj4MIPjvFQIqGyoL4S3zC3ZTwnRTATwlfKLhHblD-Uw17v-_iTJbikupQOAMHLIGo08Ko5eWtsL33ybQgM4Jran4F7G5OEK0XQFTViI43ZXl1rBc,&q={searchTerms} - Search the web O2 - HKLM\..\BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files\qdxtUcdmoIE\kLqM7vzzT.dllКомпьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\cappu\2546887.exe'); TerminateProcessByName('c:\program files\qdxtucdmoie\muylnxubzo.exe'); TerminateProcessByName('c:\programdata\microsoftcorporation\windows\system32\isass.exe'); TerminateProcessByName('c:\users\kirill\appdata\local\temp\is-3is7g.tmp\gzuifj1f1tl.tmp'); TerminateProcessByName('c:\users\kirill\appdata\local\temp\is-51e71.tmp\lucllb0bw0q.tmp'); TerminateProcessByName('c:\users\kirill\appdata\local\temp\is-au4ab.tmp\2e4w4as20xk.tmp'); TerminateProcessByName('c:\users\kirill\appdata\local\temp\is-ukncp.tmp\rfbqgd5xdzd.tmp'); TerminateProcessByName('c:\users\kirill\appdata\roaming\fmddaw2ppmp\rfbqgd5xdzd.exe'); TerminateProcessByName('c:\users\kirill\appdata\roaming\limj23wfrxk\gzuifj1f1tl.exe'); TerminateProcessByName('c:\users\kirill\appdata\roaming\sj4rugnixdx\lucllb0bw0q.exe'); TerminateProcessByName('c:\users\kirill\appdata\roaming\zznrgpos5mi\2e4w4as20xk.exe'); StopService('Kipolam'); QuarantineFile('c:\program files\cappu\2546887.exe', ''); QuarantineFile('C:\Program Files\MCOQbbUPMajU2\KfsqZSPUHASPj.dll', ''); QuarantineFile('C:\Program Files\qdxtUcdmoIE\e0V5A.dll', ''); QuarantineFile('C:\Program Files\qdxtUcdmoIE\kLqM7vzzT.dll', ''); QuarantineFile('c:\program files\qdxtucdmoie\muylnxubzo.exe', ''); QuarantineFile('C:\Program Files\RlCzQmKuU\fqSUAP.dll', ''); QuarantineFile('C:\ProgramData\Kipolam\Bio-Ron.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\GeoSoft.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Kipolam.exe', ''); QuarantineFile('C:\ProgramData\Kipolam\LabZimtone.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Lotcom.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\MedFresh.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\TampFan.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Trippledox.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Vaiacof.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Vaiaozeplus.reg', ''); QuarantineFile('C:\ProgramData\Kipolam\Y-Rantom.reg', ''); QuarantineFile('c:\programdata\microsoftcorporation\windows\system32\isass.exe', ''); QuarantineFile('C:\ProgramData\WindowsAppCertification\checker.vbs', ''); QuarantineFile('C:\Users\Kirill\AppData\Local\OOTkYHnEaaolQ.exe', ''); QuarantineFile('c:\users\kirill\appdata\local\temp\is-3is7g.tmp\gzuifj1f1tl.tmp', ''); QuarantineFile('c:\users\kirill\appdata\local\temp\is-51e71.tmp\lucllb0bw0q.tmp', ''); QuarantineFile('C:\Users\Kirill\AppData\Local\Temp\is-5TD1I.tmp\_isetup\_isdecmp.dll', ''); QuarantineFile('c:\users\kirill\appdata\local\temp\is-au4ab.tmp\2e4w4as20xk.tmp', ''); QuarantineFile('c:\users\kirill\appdata\local\temp\is-ukncp.tmp\rfbqgd5xdzd.tmp', ''); QuarantineFile('c:\users\kirill\appdata\roaming\fmddaw2ppmp\rfbqgd5xdzd.exe', ''); QuarantineFile('c:\users\kirill\appdata\roaming\limj23wfrxk\gzuifj1f1tl.exe', ''); QuarantineFile('C:\Users\Kirill\appdata\roaming\qipapp\qipapp.exe', ''); QuarantineFile('c:\users\kirill\appdata\roaming\sj4rugnixdx\lucllb0bw0q.exe', ''); QuarantineFile('C:\Users\Kirill\AppData\Roaming\VArjZOFIAtk.exe', ''); QuarantineFile('c:\users\kirill\appdata\roaming\zznrgpos5mi\2e4w4as20xk.exe', ''); QuarantineFile('C:\Windows\System32\icardres.dll', ''); QuarantineFile('D:\autorun.exe', ''); QuarantineFile('D:\autorun.inf', ''); DeleteFile('c:\program files\cappu\2546887.exe', '32'); DeleteFile('C:\Program Files\MCOQbbUPMajU2\KfsqZSPUHASPj.dll', '32'); DeleteFile('C:\Program Files\qdxtUcdmoIE\e0V5A.dll', '32'); DeleteFile('C:\Program Files\qdxtUcdmoIE\kLqM7vzzT.dll', '32'); DeleteFile('c:\program files\qdxtucdmoie\muylnxubzo.exe', '32'); DeleteFile('C:\Program Files\RlCzQmKuU\fqSUAP.dll', '32'); DeleteFile('C:\ProgramData\Kipolam\Bio-Ron.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\GeoSoft.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Kipolam.exe', '32'); DeleteFile('C:\ProgramData\Kipolam\LabZimtone.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Lotcom.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\MedFresh.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\TampFan.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Trippledox.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Vaiacof.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Vaiaozeplus.reg', '32'); DeleteFile('C:\ProgramData\Kipolam\Y-Rantom.reg', '32'); DeleteFile('c:\programdata\microsoftcorporation\windows\system32\isass.exe', '32'); DeleteFile('C:\ProgramData\WindowsAppCertification\checker.vbs', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\OOTkYHnEaaolQ.exe', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-0RNF4.tmp\_isetup\_isdecmp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-0RNF4.tmp\idp.dll', '32'); DeleteFile('c:\users\kirill\appdata\local\temp\is-51e71.tmp\lucllb0bw0q.tmp', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-5TD1I.tmp\_isetup\_isdecmp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-5TD1I.tmp\idp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-Q01BQ.tmp\_isetup\_isdecmp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-Q01BQ.tmp\idp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-S5KD2.tmp\_isetup\_isdecmp.dll', '32'); DeleteFile('C:\Users\Kirill\AppData\Local\Temp\is-S5KD2.tmp\idp.dll', '32'); DeleteFile('c:\users\kirill\appdata\local\temp\is-ukncp.tmp\rfbqgd5xdzd.tmp', '32'); DeleteFile('c:\users\kirill\appdata\roaming\fmddaw2ppmp\rfbqgd5xdzd.exe', '32'); DeleteFile('c:\users\kirill\appdata\roaming\limj23wfrxk\gzuifj1f1tl.exe', '32'); DeleteFile('C:\Users\Kirill\appdata\roaming\qipapp\qipapp.exe', '32'); DeleteFile('c:\users\kirill\appdata\roaming\sj4rugnixdx\lucllb0bw0q.exe', '32'); DeleteFile('C:\Users\Kirill\AppData\Roaming\VArjZOFIAtk.exe', '32'); DeleteFile('c:\users\kirill\appdata\roaming\zznrgpos5mi\2e4w4as20xk.exe', '32'); DeleteFile('C:\Windows\System32\icardres.dll', '32'); DeleteFile('D:\autorun.exe', '32'); DeleteFile('D:\autorun.inf', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{5726C573-B2DF-A85D-AE89-F831E153F745}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{B82133B6-902C-C152-9B3A-A00B4289CB4C}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "LEYQPVHwvgCJZX" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_FaseTough" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Geodex" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Geotex" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Goldla" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_HomeTouch" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Jobdom" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_KayHome" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Treeair" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Tripplehottone" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "psv_Zuncof" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SblZmBRLKrukRom2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Windows_Antimalware_Host" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Windows_Antimalware_Host_Systm" /F', 0, 15000, true); DeleteService('Kipolam'); DeleteFileMask('c:\program files\cappu', '*', true); DeleteFileMask('c:\program files\mcoqbbupmaju2', '*', true); DeleteFileMask('c:\program files\qdxtucdmoie', '*', true); DeleteFileMask('c:\program files\rlczqmkuu', '*', true); DeleteFileMask('c:\programdata\microsoftcorporation', '*', true); DeleteFileMask('c:\programdata\windowsappcertification', '*', false); DeleteFileMask('c:\users\kirill\appdata\local\tempp', '*.exe', true); DeleteFileMask('c:\users\kirill\appdata\roaming\fmddaw2ppmp', '*', true); DeleteFileMask('c:\users\kirill\appdata\roaming\limj23wfrxk', '*', true); DeleteFileMask('c:\users\kirill\appdata\roaming\qipapp', '*', true); DeleteFileMask('c:\users\kirill\appdata\roaming\sj4rugnixdx', '*', true); DeleteFileMask('c:\users\kirill\appdata\roaming\zznrgpos5mi', '*', true); DeleteDirectory('c:\program files\cappu'); DeleteDirectory('c:\program files\mcoqbbupmaju2'); DeleteDirectory('c:\program files\qdxtucdmoie'); DeleteDirectory('c:\program files\rlczqmkuu'); DeleteDirectory('c:\programdata\microsoftcorporation'); DeleteDirectory('c:\programdata\windowsappcertification'); DeleteDirectory('c:\users\kirill\appdata\roaming\fmddaw2ppmp'); DeleteDirectory('c:\users\kirill\appdata\roaming\limj23wfrxk'); DeleteDirectory('c:\users\kirill\appdata\roaming\qipapp'); DeleteDirectory('c:\users\kirill\appdata\roaming\sj4rugnixdx'); DeleteDirectory('c:\users\kirill\appdata\roaming\zznrgpos5mi'); DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '456832'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7036464'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7525845'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '9349187'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows_Antimalware_Host_Syst'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ljthcuuae40'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
WBR,
Vadim
При выполнении скрпта в AVZ компьютер падал в синий экран, методом научного тыка выяснил что дело в строчке SearchRootkit(true, true); потому скрипт выполнял без этой строки.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Отчёт ClearLNK я случайно закрыл несохранив, там было об успешной очистки этих 3 строк из лога
Код:>>> "C:\Users\Public\Desktop\Google Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> %SNP%] >>> "C:\Users\Kirill\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> %SNP%] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> %SNP%]
Второй лог прилагаю
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Браузер перестал периодически открывать страницы однако на веб страницах продолжают появляться посторонние блоки с рекламой, правда контент в них не прогружаеться, появляються только рамки. Я создал новый профиль в файрфоксе - в нем всё чисто.
А чистка куки/кэша не помогла? Тогда, возможно, дело было в каких-то расширениях.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 68
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) HongKilDong, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
