Скриншот прикрепил.
Наткнулся на вашем форуме схожую проблему, начал выполнять как написано, застрял на HijackThis.
Все отчеты прикрепил
Скриншот прикрепил.
Наткнулся на вашем форуме схожую проблему, начал выполнять как написано, застрял на HijackThis.
Все отчеты прикрепил
Уважаемый(ая) yankowskii, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Прикрепил отчет в первом сообщении
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd',''); QuarantineFile('C:\Windows\SYSTEM32\805165423741l.exe',''); QuarantineFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe',''); QuarantineFile('C:\Windows\M02405\Ja634608bLay.com',''); QuarantineFile('C:\Windows\system32\805165423741l.exe',''); QuarantineFile('C:\Windows\sa-533065.exe',''); TerminateProcessByName('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe'); QuarantineFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe',''); TerminateProcessByName('c:\windows\m02405\smss.exe'); TerminateProcessByName('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe'); QuarantineFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe',''); TerminateProcessByName('c:\windows\m02405\emangeloh.exe'); QuarantineFile('c:\windows\m02405\emangeloh.exe',''); DeleteFile('c:\windows\m02405\emangeloh.exe','32'); DeleteFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe','32'); DeleteFile('c:\windows\m02405\smss.exe','32'); DeleteFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe','32'); DeleteFile('C:\Windows\sa-533065.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','T24Z051'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','T1024065TT4'); DeleteFile('C:\Windows\system32\805165423741l.exe','32'); DeleteFile('C:\Windows\M02405\Ja634608bLay.com','32'); DeleteFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe','32'); DeleteFile('C:\Windows\SYSTEM32\805165423741l.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (yankowskii)','64'); ExecuteSysClean; Executerepair(9); Executerepair(16); Executerepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правиламКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local F2-32 - HKLM\..\WinLogon: [Shell] = explorer.exe, "C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe" F2-32 - HKLM\..\WinLogon: [UserInit] = C:\Windows\system32\userinit.exe , "C:\Windows\M02405\Ja634608bLay.com" O4 - HKCU\..\Run: [FACEIT] = C:\Users\yankowskii\AppData\Local\FACEITApp\update.exe --processStart "FACEIT.exe" O4 - HKCU\..\Run: [T1024065TT4] = C:\Windows\system32\805165423741l.exe (file missing) O4 - User Startup: C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd -> (PE EXE) O4-32 - HKLM\..\Run: [T24Z051] = C:\Windows\sa-533065.exe
Сделайте лог полного сканирования MBAM.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Прикрепил новый архив карантин по красной кнопке "Прислать запрошенный карантин"
Прикрепил к этому сообщению новые логи
Не понял как сделать полный лог полного сканирования MBAM. Мне нужно скачать Malwarebytes?
Да, так
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\users\yankowskii\appdata\roaming\microsoft\wind ows\start=
menu\programs\startup\sql.cmd - Worm.Win32.VB.cz ( BitDefen=
der: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
ates\o41524z\service.exe - Worm.Win32.VB.cz ( BitDefender: Wi=
n32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
ates\o41524z\tuxo41524z.exe - Worm.Win32.VB.cz ( BitDefender:=
Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
ates\o41524z\winlogon.exe - Worm.Win32.VB.cz ( BitDefender: W=
in32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\windows\m02405\emangeloh.exe - Worm.Win32.VB.cz ( Bit=
Defender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\windows\m02405\ja634608blay.com - Worm.Win32.VB.cz ( =
BitDefender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\windows\sa-533065.exe - Worm.Win32.VB.cz ( BitDefender=
: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )- c:\windows\system32\805165423741l.exe - Worm.Win32.VB.cz=
( BitDefender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
Уважаемый(ая) yankowskii, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.