dav.serg Опубликовано 14 февраля, 2017 Опубликовано 14 февраля, 2017 помогите удалить майнер (служба) и тулбары CollectionLog-2017.02.15-02.02.zip
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Users\user\AppData\Roaming\vnlgp\vnlgp.exe'); QuarantineFile('C:\Users\user\AppData\Roaming\ATI\ISSCH\issch.exe',''); QuarantineFile('C:\Program Files (x86)\amuleC\ed2k.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\vnlgp\vnlgp.exe',''); QuarantineFileF('c:\users\user\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\user\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\user\appdata\roaming\gplyra', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\ProgramData\service.exe', ''); QuarantineFile('C:\Users\user\AppData\LocalLow\SearchGo\searchgo.dll', ''); QuarantineFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\6753084_installcube.exe', ''); QuarantineFile('C:\Users\user\appdata\roaming\gplyra\gplyra.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Roaming\vnlgp\vnlgp.exe','32'); DeleteFile('C:\Program Files (x86)\amuleC\ed2k.exe','32'); DeleteFile('C:\Users\user\AppData\Roaming\ATI\ISSCH\issch.exe','32'); DeleteFile('C:\ProgramData\service.exe', '32'); DeleteFile('C:\Users\user\AppData\LocalLow\SearchGo\searchgo.dll', '32'); DeleteFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\6753084_installcube.exe', '32'); DeleteFile('C:\Users\user\appdata\roaming\gplyra\gplyra.exe', '32'); DeleteService('ed2kidle'); DeleteFileMask('c:\users\user\appdata\local\fupdate', '*', true); DeleteFileMask('c:\users\user\appdata\local\hostinstaller', '*', true); DeleteFileMask('c:\users\user\appdata\roaming\gplyra', '*', true); DeleteDirectory('c:\users\user\appdata\local\fupdate'); DeleteDirectory('c:\users\user\appdata\local\hostinstaller'); DeleteDirectory('c:\users\user\appdata\roaming\gplyra'); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lglwlmcjvl'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
dav.serg Опубликовано 15 февраля, 2017 Автор Опубликовано 15 февраля, 2017 (изменено) KLAN-5797152419 Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Программа Riskware, которая может причинить вред вашему устройству, найдена в файлахvnlgp.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bstВредоносные программы не найдены в файлах:config.jsongplyra-uninst.exegplyra.exeМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com" AdwCleanerS0.txt ClearLNK-15.02.2017_09-43.log Изменено 15 февраля, 2017 пользователем dav.serg
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
dav.serg Опубликовано 15 февраля, 2017 Автор Опубликовано 15 февраля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chromeи нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. AdwCleanerC0.txt FRST.txt Addition.txt Shortcut.txt
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShellExecuteHooks: No Name - {F1231DBA-9EC1-11E6-A791-64006A5CFC23} - -> No File GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF41593F7-E64C-4B18-860A-4C977643451C%7D&gp=822368 FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21] FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sovetnik@metabar.ru.xpi [not found] CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633 CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3 CHR DefaultSearchKeyword: Default -> mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2017-02-15] CHR Extension: (Mail.Ru) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2017-02-15] 2017-02-14 19:44 - 2016-10-31 23:07 - 00000000 ____D C:\Users\user\AppData\Roaming\SearchAY 2017-02-14 19:44 - 2016-10-31 22:45 - 00000000 ____D C:\Users\user\AppData\Local\PowerMonitor 2017-02-14 19:44 - 2016-10-31 22:38 - 00000000 ____D C:\Users\user\AppData\Local\Phoenix Browser Updater Task: {0BA9AD9A-9A78-42DD-BD02-925E991CEF60} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {21AB6E1A-D79B-47F2-AE09-0740AED990EF} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe Task: {394A16CC-F76A-4734-8573-45BFB56E99AD} - System32\Tasks\SearchAY => python\pythonw.exe Task: {D6F0E06D-05F5-4905-8E51-99B489129148} - System32\Tasks\Phoenix Browser Updater => %LOCALAPPDATA%\Phoenix Browser Updater\Phoenix Browser Updater.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_user.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1
dav.serg Опубликовано 15 февраля, 2017 Автор Опубликовано 15 февраля, 2017 их не осталось спасибо вам большое
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления ^Необязательное обновление.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- VKMusic 4 v.4.67 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО
dav.serg Опубликовано 15 февраля, 2017 Автор Опубликовано 15 февраля, 2017 какой посоветуете антивирус
Sandor Опубликовано 15 февраля, 2017 Опубликовано 15 февраля, 2017 Тот, на форуме которого мы находимся
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти