собственно хотел установить приложение, но установил непонятно что, после перезагрузки каждый раз устанавливаются такой софт как safefinder, web companion, lounch one system care, а может и еще что-то - я не знаю.
нахватал кучу чего-то [VHO:Rootkit.Win64.Agent.avo, VHO:Rootkit.Win64.Agent.avn]
собственно хотел установить приложение, но установил непонятно что, после перезагрузки каждый раз устанавливаются такой софт как safefinder, web companion, lounch one system care, а может и еще что-то - я не знаю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) activist, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Так же регулярно самостоятельно открывается браузер Edge с разными вкладками типа казино или новостей
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\loreczyygie\tntoohnhpy.exe'); TerminateProcessByName('C:\Program Files (x86)\Magic\798705333.exe'); TerminateProcessByName('C:\Program Files\Z3L0REALA2\Z3L0REALA.exe'); TerminateProcessByName('c:\users\4cfa~1\appdata\local\temp\is-ct4lm.tmp\od3l3zhc2kl.tmp'); TerminateProcessByName('c:\users\Роман\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\users\Роман\appdata\local\temp\csrss\lsa64.exe'); TerminateProcessByName('C:\Users\Роман\AppData\Local\Temp\LVUWAPUB5N\LVUW.exe'); TerminateProcessByName('c:\users\Роман\appdata\roaming\3chfd5na5g4\od3l3zhc2kl.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); StopService('WinDefender'); StopService('Winmon'); StopService('WinmonFS'); StopService('WinmonProcessMonitor'); QuarantineFile('C:\Program Files (x86)\DjpYILTWU\nxVVIQ.dll', ''); QuarantineFile('C:\Program Files (x86)\FVgedVjzKgFU2\DnuxuVrVOIhQd.dll', ''); QuarantineFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.CSharp.Utilities.dll', ''); QuarantineFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.SearchProtect.Repositories.dll', ''); QuarantineFile('C:\Program Files (x86)\loreCZYyGIE\kwCoUlw.dll', ''); QuarantineFile('C:\Program Files (x86)\loreCZYyGIE\O7YYvze.dll', ''); QuarantineFile('c:\program files (x86)\loreczyygie\tntoohnhpy.exe', ''); QuarantineFile('C:\Program Files (x86)\Magic\798705333.exe', ''); QuarantineFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe', ''); QuarantineFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', ''); QuarantineFile('C:\Program Files (x86)\vevsoISKgkcDC\EqqnusN.dll', ''); QuarantineFile('C:\Program Files (x86)\VtuYtIvrjzmOrIBvrWR\RSnUpyH.dll', ''); QuarantineFile('C:\Program Files\Adobe\FR5VF\wT1_Yr0-f&.exe', ''); QuarantineFile('C:\Program Files\Z3L0REALA2\Z3L0REALA.exe', ''); QuarantineFile('C:\ProgramData\pUIfuUUTjzrUMTVB\eRpjdJK.wsf', ''); QuarantineFile('c:\users\4cfa~1\appdata\local\temp\is-ct4lm.tmp\od3l3zhc2kl.tmp', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-D3ALQ.tmp\_isetup\_isdecmp.dll', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-D3ALQ.tmp\idp.dll', ''); QuarantineFile('c:\users\Роман\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('c:\users\Роман\appdata\local\temp\csrss\lsa64.exe', ''); QuarantineFile('C:\Users\Роман\AppData\Local\Temp\csrss\lsa64install.exe', ''); QuarantineFile('C:\Users\Роман\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\Роман\AppData\Local\Temp\LVUWAPUB5N\LVUW.exe', ''); QuarantineFile('c:\users\Роман\appdata\roaming\3chfd5na5g4\od3l3zhc2kl.exe', ''); QuarantineFile('C:\Users\Роман\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); QuarantineFile('c:\windows\windefender.exe', ''); QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0); DeleteFile('C:\Program Files (x86)\DjpYILTWU\nxVVIQ.dll', ''); DeleteFile('C:\Program Files (x86)\FVgedVjzKgFU2\DnuxuVrVOIhQd.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.CSharp.Utilities.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.SearchProtect.Repositories.dll', ''); DeleteFile('C:\Program Files (x86)\loreCZYyGIE\kwCoUlw.dll', ''); DeleteFile('C:\Program Files (x86)\loreCZYyGIE\O7YYvze.dll', ''); DeleteFile('c:\program files (x86)\loreczyygie\tntoohnhpy.exe', ''); DeleteFile('C:\Program Files (x86)\Magic\798705333.exe', ''); DeleteFile('C:\Program Files (x86)\Magic\798705333.exe', '64'); DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe', ''); DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', ''); DeleteFile('C:\Program Files (x86)\vevsoISKgkcDC\EqqnusN.dll', ''); DeleteFile('C:\Program Files (x86)\VtuYtIvrjzmOrIBvrWR\RSnUpyH.dll', ''); DeleteFile('C:\Program Files\Adobe\FR5VF\wT1_Yr0-f&.exe', '64'); DeleteFile('C:\Program Files\Z3L0REALA2\Z3L0REALA.exe', ''); DeleteFile('C:\Program Files\Z3L0REALA2\Z3L0REALA.exe', '32'); DeleteFile('C:\ProgramData\pUIfuUUTjzrUMTVB\eRpjdJK.wsf', ''); DeleteFile('c:\users\4cfa~1\appdata\local\temp\is-ct4lm.tmp\od3l3zhc2kl.tmp', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-D3ALQ.tmp\_isetup\_isdecmp.dll', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-D3ALQ.tmp\idp.dll', ''); DeleteFile('c:\users\Роман\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('c:\users\Роман\appdata\local\temp\csrss\lsa64.exe', ''); DeleteFile('C:\Users\Роман\AppData\Local\Temp\csrss\lsa64install.exe', ''); DeleteFile('C:\Users\Роман\AppData\Local\Temp\csrss\scheduled.exe', ''); DeleteFile('C:\Users\Роман\AppData\Local\Temp\LVUWAPUB5N\LVUW.exe', ''); DeleteFile('c:\users\Роман\appdata\roaming\3chfd5na5g4\od3l3zhc2kl.exe', ''); DeleteFile('C:\Users\Роман\AppData\Roaming\3chfd5na5g4\od3l3zhc2kl.exe', '32'); DeleteFile('C:\Users\Роман\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); DeleteFile('C:\Users\Роман\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys', ''); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); DeleteFile('c:\windows\windefender.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "75a7345b-89de-460e-a3ed-a555054ef1bd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "95e9e6f9-00ae-46bc-b98d-9b2e9fd94dd0" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "cGuRYWMDXAzszcxQS2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ClwhhsndxrpfQ2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "csrss" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "lRXXZzUHcFPoIKk2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "lsa64" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TGZZvvZkTeMODbIDdGH2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ZSFGHAUrEQvZYk" /F', 0, 15000, true); DeleteService('WinDefender'); DeleteService('Winmon'); DeleteService('WinmonFS'); DeleteService('WinmonProcessMonitor'); DeleteFileMask('c:\program files (x86)\djpyiltwu', '*', true); DeleteFileMask('c:\program files (x86)\fvgedvjzkgfu2', '*', true); DeleteFileMask('c:\program files (x86)\lavasoft\web companion', '*', false); DeleteFileMask('c:\program files (x86)\loreczyygie', '*', true); DeleteFileMask('c:\program files (x86)\onesystemcare', '*', true); DeleteFileMask('c:\program files (x86)\vevsoiskgkcdc', '*', true); DeleteFileMask('c:\program files (x86)\vtuytivrjzmoribvrwr', '*', true); DeleteFileMask('c:\program files\adobe\fr5vf', '*', true); DeleteFileMask('c:\program files\z3l0reala2', '*', true); DeleteFileMask('c:\programdata\puifuuutjzrumtvb', '*', true); DeleteFileMask('c:\users\роман\appdata\local\temp\csrss', '*', true); DeleteFileMask('c:\users\роман\appdata\roaming\3chfd5na5g4', '*', true); DeleteFileMask('c:\users\роман\appdata\roaming\epicnet inc', '*', true); DeleteFileMask('c:\windows\rss', '*', true); DeleteDirectory('c:\program files (x86)\djpyiltwu'); DeleteDirectory('c:\program files (x86)\fvgedvjzkgfu2'); DeleteDirectory('c:\program files (x86)\lavasoft\web companion'); DeleteDirectory('c:\program files (x86)\loreczyygie'); DeleteDirectory('c:\program files (x86)\onesystemcare'); DeleteDirectory('c:\program files (x86)\vevsoiskgkcdc'); DeleteDirectory('c:\program files (x86)\vtuytivrjzmoribvrwr'); DeleteDirectory('c:\program files\adobe\fr5vf'); DeleteDirectory('c:\program files\z3l0reala2'); DeleteDirectory('c:\programdata\puifuuutjzrumtvb'); DeleteDirectory('c:\users\роман\appdata\local\temp\csrss'); DeleteDirectory('c:\users\роман\appdata\roaming\3chfd5na5g4'); DeleteDirectory('c:\users\роман\appdata\roaming\epicnet inc'); DeleteDirectory('c:\windows\rss'); DelBHO('{D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '9839678'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G8DHI78YQNWEHVZ'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WispyDust'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '5zjrlnpcjwt'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог такой версией Autologger.
WBR,
Vadim
Новый лог
- - - - -Добавлено - - - - -
Так же беспокоит что при каждом выключении закрываются от одного до нескольких приложений под названием setup, уже принудительно, работают видимо в фоновом режиме т.к. никаких установок активных я не вижу когда пк включен
Выполните в AVZ скрипт:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\ixeu\fbvq.exe'); TerminateProcessByName('c:\users\Роман\appdata\roaming\ogj0qmf54ct\koedkqbrw5w.exe'); TerminateProcessByName('c:\users\4cfa~1\appdata\local\temp\is-1rqv1.tmp\koedkqbrw5w.tmp'); TerminateProcessByName('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe'); TerminateProcessByName('c:\program files\n7gbb8a0h3\n7gbb8a0h.exe'); TerminateProcessByName('c:\program files\nrmyda8zsm\nrmyda8zs.exe'); TerminateProcessByName('c:\users\Роман\appdata\roaming\uedvkc4ghhr\pyecgcp20bo.exe'); TerminateProcessByName('c:\users\4cfa~1\appdata\local\temp\is-ksg39.tmp\pyecgcp20bo.tmp'); TerminateProcessByName('c:\program files (x86)\lavasoft\web companion\application\webcompanion.exe'); StopService('WCAssistantService'); QuarantineFile('c:\programdata\ixeu\fbvq.exe', ''); QuarantineFile('c:\users\Роман\appdata\roaming\ogj0qmf54ct\koedkqbrw5w.exe', ''); QuarantineFile('c:\users\4cfa~1\appdata\local\temp\is-1rqv1.tmp\koedkqbrw5w.tmp', ''); QuarantineFile('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe', ''); QuarantineFile('c:\program files\n7gbb8a0h3\n7gbb8a0h.exe', ''); QuarantineFile('c:\program files\nrmyda8zsm\nrmyda8zs.exe', ''); QuarantineFile('c:\users\Роман\appdata\roaming\uedvkc4ghhr\pyecgcp20bo.exe', ''); QuarantineFile('c:\users\4cfa~1\appdata\local\temp\is-ksg39.tmp\pyecgcp20bo.tmp', ''); QuarantineFile('c:\program files (x86)\lavasoft\web companion\application\webcompanion.exe', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-4HCNO.tmp\_isetup\_isdecmp.dll', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-4HCNO.tmp\idp.dll', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-UIVLO.tmp\_isetup\_isdecmp.dll', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\is-UIVLO.tmp\idp.dll', ''); QuarantineFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\log4net.dll', ''); QuarantineFile('C:\Program Files (x86)\Magic\573184304.exe', ''); QuarantineFile('C:\Program Files (x86)\Imen\259868389.exe', ''); QuarantineFile('C:\Program Files (x86)\loreCZYyGIE\tFSBB1b.dll', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\qktaqtq.exe', ''); QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\oppnj.exe', ''); DeleteFile('c:\programdata\ixeu\fbvq.exe', ''); DeleteFile('c:\users\Роман\appdata\roaming\ogj0qmf54ct\koedkqbrw5w.exe', ''); DeleteFile('c:\users\4cfa~1\appdata\local\temp\is-1rqv1.tmp\koedkqbrw5w.tmp', ''); DeleteFile('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe', ''); DeleteFile('c:\program files\n7gbb8a0h3\n7gbb8a0h.exe', ''); DeleteFile('c:\program files\nrmyda8zsm\nrmyda8zs.exe', ''); DeleteFile('c:\users\Роман\appdata\roaming\uedvkc4ghhr\pyecgcp20bo.exe', ''); DeleteFile('c:\users\4cfa~1\appdata\local\temp\is-ksg39.tmp\pyecgcp20bo.tmp', ''); DeleteFile('c:\program files (x86)\lavasoft\web companion\application\webcompanion.exe', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-4HCNO.tmp\_isetup\_isdecmp.dll', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-4HCNO.tmp\idp.dll', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-UIVLO.tmp\_isetup\_isdecmp.dll', ''); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\is-UIVLO.tmp\idp.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\log4net.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.AppCore.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.Utils.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Newtonsoft.Json.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Interop.LavasoftTcpServiceLib.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.SearchProtect.Business.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\ICSharpCode.SharpZipLib.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\ru-RU\WebCompanion.resources.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.adblocker.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.Events.dll', ''); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe', '64'); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe', '32'); DeleteFile('C:\Users\Роман\AppData\Roaming\uedvkc4ghhr\pyecgcp20bo.exe', '32'); DeleteFile('C:\Program Files\N7GBB8A0H3\N7GBB8A0H.exe', '32'); DeleteFile('C:\Users\Роман\AppData\Roaming\ogj0qmf54ct\koedkqbrw5w.exe', '32'); DeleteFile('C:\Program Files\NRMYDA8ZSM\NRMYDA8ZS.exe', '32'); DeleteFile('C:\Program Files (x86)\Magic\573184304.exe', '64'); DeleteFile('C:\Program Files (x86)\Imen\259868389.exe', '64'); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe', '64'); DeleteFile('C:\Users\Роман\AppData\Roaming\uedvkc4ghhr\pyecgcp20bo.exe', '64'); DeleteFile('C:\Program Files\N7GBB8A0H3\N7GBB8A0H.exe', '64'); DeleteFile('C:\Users\Роман\AppData\Roaming\ogj0qmf54ct\koedkqbrw5w.exe', '64'); DeleteFile('C:\Program Files\NRMYDA8ZSM\NRMYDA8ZS.exe', '64'); DeleteFile('C:\Program Files (x86)\loreCZYyGIE\tFSBB1b.dll', '64'); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\qktaqtq.exe', '32'); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\oppnj.exe', '32'); DeleteFile('C:\ProgramData\ixeu\fbvq.exe', '32'); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\qktaqtq.exe', '64'); DeleteFile('C:\Users\4CFA~1\AppData\Local\Temp\oppnj.exe', '64'); DeleteFile('C:\ProgramData\ixeu\fbvq.exe', '64'); DeleteFileMask('c:\programdata\ixeu', '*', false); DeleteFileMask('c:\users\роман\appdata\roaming\ogj0qmf54ct', '*', true); DeleteFileMask('c:\program files (x86)\lavasoft\web companion', '*', false); DeleteFileMask('c:\program files\n7gbb8a0h3', '*', true); DeleteFileMask('c:\program files\nrmyda8zsm', '*', true); DeleteFileMask('c:\users\роман\appdata\roaming\uedvkc4ghhr', '*', true); DeleteFileMask('c:\users\4cfa~1\appdata\local\temp\is-ksg39.tmp', '*', true); DeleteFileMask('c:\program files (x86)\loreczyygie', '*', true); DeleteSchedulerTask('eqvasovveiqvdqsbqpk.job'); DeleteSchedulerTask('onfseekkpprrhftrtfh.job'); DeleteSchedulerTask('Test Task17.job'); DeleteSchedulerTask('eqvasovveiqvdqsbqpk'); DeleteSchedulerTask('onfseekkpprrhftrtfh'); DeleteSchedulerTask('Test Task17'); DeleteDirectory('c:\programdata\ixeu'); DeleteDirectory('c:\users\роман\appdata\roaming\ogj0qmf54ct'); DeleteDirectory('c:\program files (x86)\lavasoft\web companion'); DeleteDirectory('c:\program files\n7gbb8a0h3'); DeleteDirectory('c:\program files\nrmyda8zsm'); DeleteDirectory('c:\users\роман\appdata\roaming\uedvkc4ghhr'); DeleteDirectory('c:\users\4cfa~1\appdata\local\temp\is-ksg39.tmp'); DeleteDirectory('c:\program files (x86)\loreczyygie'); DelBHO('{D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Web Companion', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6044330', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6KWZJRIXZLU1ZGR', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4933306', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FSML9AAB8EDMVJH', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','nrsf2bj2e2p', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','ui55yqots3o', '64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Web Companion', '64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6044330', '64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6KWZJRIXZLU1ZGR', '64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4933306', '64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FSML9AAB8EDMVJH', '64'); DeleteService('WCAssistantService'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Удалите программы:
Cezurity Antivirus
SafeFinder
Web Companion
YoutubeAdBlock
Сделайте лог сканирования МВАМ.
WBR,
Vadim
я не могу удалить приложение safefinder, выбираю через список приложений - нажимаю удалить - появляется окно разрешить вносить изменения - ждму да и на этом все заканчивается, дальше нет никаких действий
- - - - -Добавлено - - - - -
прикрепил лог
а после проверки помещать в карантин файлы или отменить действие?
в инструкции не написано
- - - - -Добавлено - - - - -
закинул в карантин как предлагала программа
Удалите в MBAM всё найденное.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
отчет после удаления
Удалите Hamster ZIP Archiver и One System Care.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:Powershell: enable-computerrestore "C:\" CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Windows Defender <==== ATTENTION HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKU\S-1-5-21-2019886664-2273662555-417100212-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181122 SearchScopes: HKU\S-1-5-21-2019886664-2273662555-417100212-1001 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = hxxp://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_181122&q={searchTerms} BHO: YoutubeAdBlock -> {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} -> C:\Program Files (x86)\loreCZYyGIE\tFSBB1b.dll => No File S1 fqufengl; \??\C:\Windows\system32\drivers\fqufengl.sys [X] S1 KLIF; system32\DRIVERS\klif.sys [X] 2018-11-23 04:46 - 2018-11-23 11:31 - 000000000 ____D C:\Program Files (x86)\Imen 2018-11-22 18:21 - 2018-11-22 18:21 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys 2018-11-22 18:21 - 2018-11-22 18:21 - 000023272 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\WinmonFS.sys 2018-11-22 18:20 - 2018-11-23 11:33 - 000000000 ____D C:\Users\Все пользователи\ixeu 2018-11-22 18:19 - 2018-11-23 11:33 - 000000000 ____D C:\Users\Роман\AppData\Roaming\ogj0qmf54ct 2018-11-22 18:00 - 2018-11-23 11:33 - 000000000 ____D C:\Users\Роман\AppData\Roaming\uedvkc4ghhr 2018-11-22 17:20 - 2018-11-22 17:20 - 000000000 ____D C:\Users\Роман\AppData\LocalLow\uVLgKJnzBrgAs S3 klflt; C:\Windows\system32\DRIVERS\klflt.sys [220472 2018-11-22] (AO Kaspersky Lab) 2018-11-22 17:15 - 2018-11-22 17:15 - 000220472 _____ (AO Kaspersky Lab) C:\Windows\system32\Drivers\klflt.sys 2018-11-22 16:44 - 2018-11-22 16:58 - 000000000 ____D C:\Users\Роман\AppData\Roaming\CRMSvc 2018-11-22 16:44 - 2018-11-22 16:48 - 000000000 ____D C:\Users\Роман\AppData\Roaming\mckgyeoyqnm 2018-11-22 16:43 - 2018-11-23 11:31 - 000000000 ____D C:\Program Files (x86)\Magic 2018-11-22 12:22 - 2018-11-22 12:22 - 000012389 _____ C:\Users\Все пользователи\pcjfkzux.rga 2018-11-22 12:22 - 2018-11-22 12:22 - 000012389 _____ C:\ProgramData\pcjfkzux.rga 2018-11-22 12:22 - 2018-11-22 12:22 - 000000000 _____ C:\Windows\system\wnoyjcbb.cgk 2018-11-22 12:22 - 2018-11-22 12:22 - 000000000 _____ C:\Users\Все пользователи\4117789529 2018-11-22 17:10 - 2018-11-22 17:37 - 000869568 _____ () C:\ProgramData\appdata.dat 2018-11-22 17:10 - 2018-11-22 17:15 - 000000001 _____ () C:\Users\Роман\AppData\Roaming\lsa64.log ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers1: [HamsterFreeMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => E:\Hamster Soft\Hamster ZIP Archiver\HamsterContextMenu64.dll -> No File ContextMenuHandlers2: [HamsterFreeMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => E:\Hamster Soft\Hamster ZIP Archiver\HamsterContextMenu64.dll -> No File ContextMenuHandlers4: [HamsterFreeMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => E:\Hamster Soft\Hamster ZIP Archiver\HamsterContextMenu64.dll -> No File Task: {0B8A58D8-36B8-45BB-85C9-FBDE504DB3C0} - System32\Tasks\eqvasovveiqvdqsbqpk => C:\Users\4CFA~1\AppData\Local\Temp\qktaqtq.exe <==== ATTENTION Task: {46228608-9825-4CBB-B3F1-06A01B0DD6BB} - System32\Tasks\BlueStacksHelper => C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe Task: {4DF90942-433F-40FD-B8E2-F03952252896} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe Task: {7E83283A-666C-40FE-B130-E5823336A62C} - System32\Tasks\cuutudmfdkkpqaartis => C:\Users\4CFA~1\AppData\Local\Temp\ewdpg.exe <==== ATTENTION Task: {C5DAE039-1DB3-4868-B757-99D7B65790D7} - System32\Tasks\onfseekkpprrhftrtfh => C:\Users\4CFA~1\AppData\Local\Temp\oppnj.exe <==== ATTENTION Task: C:\Windows\Tasks\cuutudmfdkkpqaartis.job => C:\Users\4CFA~1\AppData\Local\Temp\ewdpg.exe <==== ATTENTION Task: C:\Windows\Tasks\eqvasovveiqvdqsbqpk.job => C:\Users\4CFA~1\AppData\Local\Temp\qktaqtq.exe <==== ATTENTION Task: C:\Windows\Tasks\onfseekkpprrhftrtfh.job => C:\Users\4CFA~1\AppData\Local\Temp\oppnj.exe <==== ATTENTION IE trusted site: HKU\.DEFAULT\...\localhost -> localhost IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\cezurity.com -> hxxps://vk-local-server.cezurity.com IE trusted site: HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\webcompanion.com -> hxxp://webcompanion.com HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\StartupApproved\Run: => "WD6URFO4AWYJN5Z" HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\StartupApproved\Run: => "CloudNet" HKU\S-1-5-21-2019886664-2273662555-417100212-1001\...\StartupApproved\Run: => "WispyDust" FirewallRules: [{95EF8282-DF54-42B0-A423-7400F79B0BD7}] => (Allow) C:\Users\Роман\AppData\Local\Temp\csrss\lsa64.exe FirewallRules: [{556A5E47-906E-48D6-AA57-F0021123CE44}] => (Allow) C:\Users\Роман\AppData\Local\Temp\csrss\lsa64.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
логи
Я же писал специально:Половина мусора не вычистилось в результате.При сохранении выберите кодировку Юникод!
Удалите One System Care и всё на этом, если других проблем нет.
WBR,
Vadim
Я не могу удалить это приложение, вот
а про кодировку не сделал да, можно повторить предыдущие действия?
Я чуть позже отдельный fixlist.txt вам пропишу, чтобы всё, включая One System Care дочистить. подождите.
- - - - -Добавлено - - - - -
Пробуйте с таким:Код:CreateRestorePoint: 2018-11-22 18:20 - 2018-11-23 11:33 - 000000000 ____D C:\Users\ProgramData\ixeu 2018-11-22 18:19 - 2018-11-23 11:33 - 000000000 ____D C:\Users\Роман\AppData\Roaming\ogj0qmf54ct 2018-11-22 18:00 - 2018-11-23 11:33 - 000000000 ____D C:\Users\Роман\AppData\Roaming\uedvkc4ghhr 2018-11-22 17:20 - 2018-11-22 17:20 - 000000000 ____D C:\Users\Роман\AppData\LocalLow\uVLgKJnzBrgAs 2018-11-22 16:44 - 2018-11-22 16:58 - 000000000 ____D C:\Users\Роман\AppData\Roaming\CRMSvc 2018-11-22 16:44 - 2018-11-22 16:48 - 000000000 ____D C:\Users\Роман\AppData\Roaming\mckgyeoyqnm 2018-11-22 12:22 - 2018-11-22 12:22 - 000000000 _____ C:\Users\ProgramData\4117789529 2018-11-22 17:10 - 2018-11-22 17:37 - 000869568 _____ () C:\ProgramData\appdata.dat 2018-11-22 17:10 - 2018-11-22 17:15 - 000000001 _____ () C:\Users\Роман\AppData\Roaming\lsa64.log FirewallRules: [{95EF8282-DF54-42B0-A423-7400F79B0BD7}] => (Allow) C:\Users\Роман\AppData\Local\Temp\csrss\lsa64.exe FirewallRules: [{556A5E47-906E-48D6-AA57-F0021123CE44}] => (Allow) C:\Users\Роман\AppData\Local\Temp\csrss\lsa64.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OneSystemCare_is1" /f Reboot:
WBR,
Vadim
сделал все как в предыдущем пункте с кодировкой юникод, но one system care не удалился, второй программой тоже лог сделал
От One System Care осталась только запись об установке, не страшно. Думаю, сейчас порядок, подтвердите.
WBR,
Vadim
ну проблем тех с которыми обращался действительно не осталось, спасибо большое за помощь.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 35
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\program files (x86)\loreczyygie\kwcoulw.dll - not-a-virus=
:AdWare.Win32.Neoreklami.ovq ( AVAST4: Win32:MalwareX-gen [Trj] )- c:\program files (x86)\magic\798705333.exe - UDS:DangerousOb=
ject.Multi.Generic ( AVAST4: Win32:Adware-gen [Adw] )- c:\users\=F0=EE=EC=E0=ED\appdata\local\temp\csrss\ cloudnet.=
exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen ( AVAST4: Win32:Troj=
an-gen )- c:\users\=F0=EE=EC=E0=ED\appdata\local\temp\csrss\ scheduled=
=2Eexe - Trojan.Win32.Chapak.bhre ( AVAST4: Win32:MalwareX-gen =
[Trj] )- c:\users\=F0=EE=EC=E0=ED\appdata\roaming\epicnet inc\cloudne=
t\cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen ( AVAST4=
: Win32:Trojan-gen )- c:\users\=F0=EE=EC=E0=ED\appdata\roaming\3chfd5na5 g4\od3l3zh=
c2kl.exe - Trojan-Clicker.MSIL.Agent.cnql ( AVAST4: Win32:Adwar=
e-gen [Adw] )- c:\windows\rss\csrss.exe - UDS:DangerousObject.Multi.Generic=
( AVAST4: Win32:Trojan-gen )- c:\windows\system32\drivers\winmonfs.sys - VHO:Rootkit.Win6=
4.Agent.avn ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\system32\drivers\winmonprocessmonitor.s ys - VHO:=
Rootkit.Win64.Agent.ayv ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\system32\drivers\winmon.sys - VHO:Rootkit.Win64.=
Agent.avo ( AVAST4: Win64:Rootkit-gen [Rtk] )- c:\windows\windefender.exe - UDS:Trojan-Dropper.Win32.Agent.s=
b ( AVAST4: Win32:Trojan-gen )
Уважаемый(ая) activist, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
