Перейти к содержанию
Правила раздела

Рекламный вирус + work.exe

НикитаС

От НикитаС
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','');
QuarantineFile('C:\Program Files\picexa\picexasvc.exe','');
QuarantineFile('C:\Program Files\miuitab\suptab.dll','');
QuarantineFile('C:\Program Files\miuitab\protectservice.exe','');
QuarantineFile('C:\Program Files\miuitab\iewatchdog.dll','');
QuarantineFile('C:\Program Files\miuitab\hpnotify.exe','');
QuarantineFile('C:\Program Files\miuitab\cmdshell.exe','');
QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
QuarantineFile('C:\Documents and Settings\C05\appdata\everything\serviceeverything.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','');
TerminateProcessByName('c:\program files\picexa\picexasvc.exe');
QuarantineFile('c:\program files\picexa\picexasvc.exe','');
DeleteFile('c:\program files\picexa\picexasvc.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_4794967BB5052472972272D36BCD0283','command');
DeleteFile('C:\Program Files\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
DeleteFile('C:\Program Files\picexa\picexasvc.exe','32');
DeleteFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

Ссылка на комментарий
Поделиться на другие сайты
НикитаС Новичок

НикитаС

Опубликовано
  • Автор
Опубликовано

KLAN-2934943487

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

bcqr00017.dat,
bcqr00018.dat,
hpnotify.exe,
kometa.exe,
picexasvc.exe,
serviceeverything.exe,
suptab.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

browerwatchch.dll - not-a-virus:AdWare.Win32.ELEX.ah
cmdshell.exe - not-a-virus:AdWare.Win32.ELEX.ak
iewatchdog.dll - not-a-virus:AdWare.Win32.ELEX.ai
protectservice.exe - not-a-virus:AdWare.Win32.ELEX.al

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

j2qfl7bu_t.exe - not-a-virus:WebToolbar.Win32.Agent.bhv

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

kometaup.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

Ссылка на комментарий
Поделиться на другие сайты
НикитаС Новичок

НикитаС

Опубликовано
  • Автор
Опубликовано (изменено)

Я кажется предыдущие логи сделал без руткитов. А теперь с руткитами стало 526 нежелательных объектов


Спасибо!


Всё удалил, даже удалил браузер. Поставил снова хром, открываю сайт и опять рекламный вирус... Внизу реклама и сверху реклама. Ведет на http://marketgid.com/mg12949.html

526.txt

post-33398-0-54872700-1435826817_thumb.jpg

post-33398-0-54541700-1435826828_thumb.jpg

Изменено пользователем НикитаС
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:



GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

SearchScopes: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> 81BF9409805855F7664111B9D1C36D11 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

BHO: No Name -> {AA58ED58-01DD-4d91-8333-CF10577473F7} ->  No File

BHO: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} ->  No File

BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File

Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File

Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File



Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Vyacheslav_G
      Вирус не удаляется
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
×
×
  • Создать...