02.11.2015, 22:09 | #1 (ссылка) |
Новичок
Регистрация: 02.11.2015
Сообщений: 5
Репутация: 0
|
Прошу помощи в избавлении от инфекции
Гадость завелась на ноуте. Постоянно (каждых 10-15 сек) вылазит Обработчик команд Windows, запрашивающий добро на внесение изменений. При этом Аваст периодически сообщает о блокировании угрозы:
процесс C:\Windows\SysWOW64\explorer.exe; инфекция: URL:Mal; адрес: http://svxiualmpgvqpthpx.pw. Проверил Авастом и Dr.Web. Проблема не решена. Помогите, пожалуйста, вылечить. Логи в uVS |
02.11.2015, 22:27 | #2 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Yargl, Скопируйте код ниже в буфер обмена
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c zoo %SystemDrive%\PROGRAMDATA\DWOKLBTHBGZEXC.EXE del %SystemDrive%\PROGRAMDATA\DWOKLBTHBGZEXC.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JLIPCAFLAOCIHNMLHNHCFOMBGMMFGLHO\3.2015.110.122_0\RDS BAR (SEO: ТИЦ, PR, DMOZ, YANDEX) delall %SystemDrive%\USERS\1\APPDATA\ROAMING\DEALPLY\UPDATE~1\UPDATE~1.EXE delall %SystemDrive%\USERS\1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U45-WINDOWS-AU.EXE delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHLHNICPBHIGNBDHEDGJHGDOCNMHOMNP\0.5.6_0\COLORZILLA delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PIOCLPOPLCDBAEFIHAMJOHNEFBIKJILC\6.7_0\EVERNOTE WEB CLIPPER delall %SystemDrive%\USERS\1\APPDATA\LOCAL\CRE\IKLOIGADAFPFGEPIGFCLHBFEHILNLJKG.CRX delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IKLOIGADAFPFGEPIGFCLHBFEHILNLJKG\10.15.0.62_0\RADIO W delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NNEAJNKJBFFGBLLEAOOJGAACOKIFDKHM\2.1.2.172_0\DIVX PLUS WEB PLAYER HTML5 \U003CVIDEO> ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\DROPBOX_SQLITE_EXT.{5F3E3153-5BCE-5766-8F84-3E3E7ECF0D81}.TMPYJC94J.DLL deldirex %SystemDrive%\PROGRAM FILES (X86)\NETCRAWL delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U51-WINDOWS-AU.EXE delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U60-WINDOWS-AU.EXE regt 28 regt 29 ;------------------------------------------------------------- deltmp delnfr |
03.11.2015, 00:11 | #3 (ссылка) |
Новичок
Регистрация: 02.11.2015
Сообщений: 5
Репутация: 0
|
Гризлик, всё выполнил. После скрипта пропали запросы Обработчика команд. Прикладываю лог_МВАМ.
Вопрос: что мне делать с результатами сканирования МВАМ? Последний раз редактировалось Yargl; 03.11.2015 в 00:11. Причина: орфография |
03.11.2015, 00:20 | #4 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) -------- 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
03.11.2015, 01:43 | #6 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Yargl, Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код:
ShortcutTarget: Evernote.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File) ShortcutTarget: Notepad++.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File) ShortcutTarget: Restart Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File ShortcutTarget: Start Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File) ShortcutTarget: Stop Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-2042719726-2790081857-1897564295-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Task: {0D397892-F9D8-4D25-AB15-A1160E63A083} - \{72D762CF-BC63-42B8-8F19-7B4CF2D9A1F3} -> No File <==== ATTENTION Task: {35CDDCE7-EDD5-4842-99DF-496BEA6946A9} - \{0BD5B161-E9DC-49CF-9DCB-39CF07CCF362} -> No File <==== ATTENTION Task: {464824C1-2C39-4A9C-9CC1-4AC64C603105} - \{0FE87329-04A3-430B-A4E9-955D59CE09ED} -> No File <==== ATTENTION Task: {860A275C-A34D-4E8B-8F8F-622FB8ABB40C} - \{6327EE10-7BD0-4640-AEFA-82B193595132} -> No File <==== ATTENTION Task: {E64026C3-D6ED-40FD-9150-8BFA5F65A70E} - \DealPly -> No File <==== ATTENTION EmptyTemp: Reboot: |
03.11.2015, 10:12 | #10 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Yargl, Тогда выполните закрытие уязвимостей системы http://pchelpforum.ru/showpost.php?p...4&postcount=16
И на этом всё! |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Нужна помощь в избавлении от вируса | Потихоньку | Безопасность | 9 | 30.08.2012 19:02 |
прошу помощи | FINLAND | Неисправности, настройка | 8 | 20.02.2012 19:40 |
Прошу помощи | UsovIvan | Безопасность | 5 | 25.12.2011 17:57 |
Прошу помощи. | Magistr666 | Безопасность | 9 | 21.04.2011 19:52 |