Dr.Clyap 0 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 На компьютере периодически появляется aMuleC, на рабочем столе возникают ярлыки Chrome и FireFox, антивирус часто находит новое вредоносное ПО. Kaspersky Removal Tool никаких угроз не обнаружил. Логи прикрепляю. Извиняюсь, если название темы немного не корректно. CollectionLog-2017.02.10-19.37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 (изменено) Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\Users\Алексей\AppData\Roaming\WinSnare\WinSnare.dll',''); QuarantineFile('C:\ProgramData\Microsoft\DeviceSync\LocalBackup.dll',''); DeleteService('qjfjgsol'); DeleteService('KuaiZipDrive'); DeleteService('ed2kidle'); StopService('FirefoxU'); StopService('iThemes5'); DeleteService('iThemes5'); DeleteService('FirefoxU'); DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32'); DeleteFile('C:\Program Files (x86)\amuleCe\ed2k.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\qjfjgsol.sys','32'); DeleteFile('C:\Users\Алексей\AppData\Local\Temp\00002328\msiql.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll'); DeleteFile('C:\ProgramData\Microsoft\DeviceSync\LocalBackup.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MS_CHECK_SVC\Parameters','ServiceDll'); DeleteFile('C:\Users\Алексей\AppData\Roaming\WinSnare\WinSnare.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Mupagh Update','64'); DeleteFile('C:\Program Files (x86)\Phapergeatjaied\pojuck.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\WinTOOL','64'); DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Логи на почту мне слать не надо! Изменено 10 февраля, 2017 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 10 февраля, 2017 Автор Share Опубликовано 10 февраля, 2017 (изменено) Архив выслал на указанную почту. Отчёт с логами прикрепляю. @mike 1, жду дальнейших указаний. AdwCleanerS0.txt Изменено 10 февраля, 2017 пользователем Dr.Clyap Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 10 февраля, 2017 Автор Share Опубликовано 10 февраля, 2017 @mike 1, в процессе удаления произошла какая-то ошибка. Мне пришлось закрыть AdwCleaner (by Xplode). Решил предварительно проконсультироваться с Вами, как теперь поступить? На всякий случай прикрепляю результат последнего сканирования и скрин ошибки. AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 Пробуйте в безопасном режиме выполнить очистку, а потом в обычном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 10 февраля, 2017 Автор Share Опубликовано 10 февраля, 2017 @mike 1, при попытке удаления в безопасном режиме опять возникла ошибка. После этого я загрузил компьютер в обычном режиме, отключил антивирус, и удаление прошло успешно. Прикрепляю отчёт. AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 Попробуйте еще раз выполнить очистку с отключенным антивирусом. Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 10 февраля, 2017 Автор Share Опубликовано 10 февраля, 2017 @mike 1, выполнил. AdwCleanerC2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 10 февраля, 2017 Share Опубликовано 10 февраля, 2017 Сделайте https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 11 февраля, 2017 Автор Share Опубликовано 11 февраля, 2017 @mike 1, сделал 11.02.2017.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 11 февраля, 2017 Share Опубликовано 11 февраля, 2017 Повторите сканирование и удалите все найденное. Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 11 февраля, 2017 Автор Share Опубликовано 11 февраля, 2017 @mike 1, повторил сканирование и всё удалил (из карантина тоже). Прикрепляю отчёт. 11.02.20172.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 11 февраля, 2017 Share Опубликовано 11 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Dr.Clyap 0 Опубликовано 11 февраля, 2017 Автор Share Опубликовано 11 февраля, 2017 @mike 1, готово. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.