китайский вирус тенсент и его друзья

2 апреля, 2017

Программы/расширения от Mail.ru используете?

Игровой центр [2015/06/29 19:21:20]-->"C:\Users\user\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall Служба автоматического обновления программ [2017/02/25 16:56:07]-->C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall Деинсталируйте.

Не сделали.

Google Update Helper - также советую деинсталировать.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\program files\maoha', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.py, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\user\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.py, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files\Maoha\MaohaAP\MaohaWifiSvr.exe', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Vofer2\IQmanager\ml.py', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Vofer2\python\pythonw.exe', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Vofer2\IQmanager\app.py', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Vofer2\ml.py', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Vofer2\updater.py', '');
 QuarantineFile('C:\Update\psgo\psgo.ps1', '');
 QuarantineFile('C:\Program Files\Maoha\MaohaAP\Uninstall.exe', '');
 QuarantineFileF('c:\update\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.py, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\gastproffite\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.py, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.py, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Maoha\MaohaAP\MaohaWifiSvr.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Vofer2\IQmanager\ml.py', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Vofer2\python\pythonw.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Vofer2\IQmanager\app.py', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Vofer2\ml.py', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Vofer2\updater.py', '32');
 DeleteFile('C:\Update\psgo\psgo.ps1', '32');
 DeleteFile('C:\Program Files\Maoha\MaohaAP\Uninstall.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "gastproffite2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "gastproffite" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "lhbgjcefbmeleippkbniooifieglpccl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "osTip" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{0B824437-EC1E-4756-B492-4AA37788745B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{20DA94C7-55C0-4582-8291-B30AD088A522}" /F', 0, 15000, true);
 DeleteService('MaohaWifiSvr');
 DeleteFileMask('c:\update\', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Roaming\gastproffite\', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\', '*', true);
 DeleteFileMask('c:\program files\maoha', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\vofer2', '*', true);
 DeleteDirectory('c:\update\');
 DeleteDirectory('C:\Users\user\AppData\Roaming\gastproffite\');
 DeleteDirectory('C:\Users\user\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\');
 DeleteDirectory('c:\program files\maoha');
 DeleteDirectory('c:\users\user\appdata\roaming\vofer2');
 DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

3 апреля, 2017

добрый день! что делать дальше?

3 апреля, 2017

Это:

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

Это:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

И это:

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению.

китайский вирус тенсент и его друзья

Рекомендуемые сообщения

regist

Ссылка на комментарий

Поделиться на другие сайты

lunalex80

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum