Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] exe.emorhc.bat , exe.xoferif.bat встраиваются в ярлыки браузеров (http://forum.oszone.net/showthread.php?t=297803)

ProXlada 01-04-2015 22:06 2490658
exe.emorhc.bat , exe.xoferif.bat встраиваются в ярлыки браузеров
 
Вложений: 1
Здравствуйте! Подхватила сегодня такую проблему:
C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat
C:\Users\Пользователь\AppData\Roaming\Browsers\exe.xoferif.bat
C:\Users\Пользователь\AppData\Roaming\Browsers\exe.rehcnual.bat

"C:\Program Files\Opera\launcher.exe"

в папке Browsers этих файлов нет.
Встроились в ярлыки браузеров и реклама пошла и ссылки открываются левые.
Помогите, пожалуйста!

regist 01-04-2015 23:14 2490680
Здравствуйте!

1) Обнови Софт - обязательно деинсталируйте, это адварь.

2) Skype Click to Call, VKMusic 4, Амиго браузер - также рекомендую деинсталировать.

3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Пользователь\Start Menu\Programs\Startup\wuT3.exe', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\toolbar.exe', '');
 QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrome.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Мozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Оpera 16.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоoglе Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzilla Firеfоx.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpera 16.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Intеrnet Ехplorer.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Chrоme.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа 16 (2).lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа 16.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Мozillа Firefoх.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Оpеra.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Ехplоrеr (No Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplоrеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Хром\Хром.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Пользователь\Desktop\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.arepo.bat', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.arepo.bat', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.xoferif.bat', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\toolbar.exe', '32');
 DeleteFile('C:\Users\Пользователь\Start Menu\Programs\Startup\wuT3.exe', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.arepo.bat', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

4)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

ProXlada 02-04-2015 08:54 2490744
Вложений: 2
Спасибо. Постаралась сделать как написали.
Вот прилагаю.

regist 02-04-2015 09:26 2490754
Цитата:
Цитата regist
1) Обнови Софт - обязательно деинсталируйте, это адварь.
2) Skype Click to Call, VKMusic 4, Амиго браузер - также рекомендую деинсталировать. »
это не сделали. Сделайте, а потом переделайте логи.

ProXlada 02-04-2015 22:20 2491148
Вложений: 2
Переделала.

regist 03-04-2015 09:17 2491265
Программы от mail.ru используете? Если, нет то
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

ProXlada 03-04-2015 18:32 2491473
Вложений: 1
Сделала.

regist 03-04-2015 22:22 2491543
папку

Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
удалите вручную.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


+ отпишитесь, что с проблемой?

ProXlada 03-04-2015 23:56 2491563
Вложений: 2
Опера и Модзилла вроде бы без рекламы. Посидела какое-то время никаких признаков.
А гугл хром просто зашкаливает. Сразу же лезут баннеры и реклама.

regist 04-04-2015 12:18 2491655
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Цитата:
=========Google Chrome=========

C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
Extension ahfgeienlihckogmohjhadlkjgocpleb Store 0.2
Extension aohghmighlieiainnegkcijnfilokake 1 Документы Google 0.9
Extension apdfllckaahabafndbhieahigkjlhalf 1 Диск Google 6.4
Extension bepbmhgboaologfdajaanbcjmnhjmhfn 0
Extension eemcgdkfndhakfknompkggombfjjjeno Bookmark Manager 0.1
Extension ennkphjdgehloodpbhlhldgbnhmacadg Settings 0.2
Extension fidibeiehaokohhbnkdjmkcapgnndfkc 2 Поиск Mail.Ru 3.0.1
Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0
Extension gighmmpiobklfepjocnamgkkbiglidom 1 AdBlock 39.0
Extension jkagakiplhpgacmegfblcddbckenmiio 2 Домашняя страница Mail.Ru 3.0.1
Extension kjlpdpfmpoggibmjgmbaoidffidifakh 2 Визуальные Закладки Mail.Ru 3.0.1
Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.10
Extension lccekmodgklaepjeofjdjpbminllajkg 1 Chrome Hotword Shared Module 0.3.0.2
Extension mfehgcgbbipciphmccgaenjidiccnmng Cloud Print 0.1
Extension mfffpogegjflfpflabcdkioaeobkgjik GaiaAuthExtension 0.0.1
Extension mgndgikekgjfcpckkfioiadnlibdjbkf Chrome 0.1
Extension nbpagnldghgfoolbancepceaanlmhfmd 1 Hotword triggering 0.0.1.3
Extension neajdppkdcdipfabeoofebfddakdcjhd Google Network Speech 1.0
Extension nkeimhogjdpnpccoofpliimaahmaaome Hangout Services 1.0
Extension nmmhkkegccagdldgiimedpiccmgmieda 1 Google Кошелек 0.1.0.0
Extension pafkbggdmjlpgkdkcbjmhmfcdpncadgh Google Now 1.2.0.1
Extension pchfckkccldkbclgdepkaonamkignanh 0 Визуальные закладки 2.17.0
Эти расширения все знакомы?

AdBlock 39.0 - попробуйте временно отключить и проверить наличие рекламы.

ProXlada 04-04-2015 12:57 2491671
adwcleaner.exe удалила.

Цитата:
Цитата regist
Цитата:
=========Google Chrome=========
C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
Extension ahfgeienlihckogmohjhadlkjgocpleb Store 0.2
Extension aohghmighlieiainnegkcijnfilokake 1 Документы Google 0.9
Extension apdfllckaahabafndbhieahigkjlhalf 1 Диск Google 6.4
Extension bepbmhgboaologfdajaanbcjmnhjmhfn 0
Extension eemcgdkfndhakfknompkggombfjjjeno Bookmark Manager 0.1
Extension ennkphjdgehloodpbhlhldgbnhmacadg Settings 0.2
Extension fidibeiehaokohhbnkdjmkcapgnndfkc 2 Поиск Mail.Ru 3.0.1
Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0
Extension gighmmpiobklfepjocnamgkkbiglidom 1 AdBlock 39.0
Extension jkagakiplhpgacmegfblcddbckenmiio 2 Домашняя страница Mail.Ru 3.0.1
Extension kjlpdpfmpoggibmjgmbaoidffidifakh 2 Визуальные Закладки Mail.Ru 3.0.1
Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.10
Extension lccekmodgklaepjeofjdjpbminllajkg 1 Chrome Hotword Shared Module 0.3.0.2
Extension mfehgcgbbipciphmccgaenjidiccnmng Cloud Print 0.1
Extension mfffpogegjflfpflabcdkioaeobkgjik GaiaAuthExtension 0.0.1
Extension mgndgikekgjfcpckkfioiadnlibdjbkf Chrome 0.1
Extension nbpagnldghgfoolbancepceaanlmhfmd 1 Hotword triggering 0.0.1.3
Extension neajdppkdcdipfabeoofebfddakdcjhd Google Network Speech 1.0
Extension nkeimhogjdpnpccoofpliimaahmaaome Hangout Services 1.0
Extension nmmhkkegccagdldgiimedpiccmgmieda 1 Google Кошелек 0.1.0.0
Extension pafkbggdmjlpgkdkcbjmhmfcdpncadgh Google Now 1.2.0.1
Extension pchfckkccldkbclgdepkaonamkignanh 0 Визуальные закладки 2.17.0
Эти расширения все знакомы? »
Не все. Некоторые совершенно не представляю для чего . В браузере Хрома у меня обозначены только 3 расширения
AdBlock, Визуальные закладки и Документы Google.
AdBlock 39.0 отключила: рекламы и баннеров не видно.

regist 04-04-2015 13:15 2491685
Цитата:
Цитата ProXlada
adwcleaner.exe удалила. »
надо было не просто файл удалять, а деинсталировать как через кнопку в его интерфейсе. Если вы удалили только файл, то скачайте заново и деинсталируйте.

Цитата:
Цитата ProXlada
Некоторые совершенно не представляю для чего . »
какие именно?

Папку
Код:
C:\Users\Пользователь\AppData\Local\Google\Chrome\Extension\gighmmpiobklfepjocnamgkkbiglidom
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

а также этот же архив загрузите на http://rghost.ru/ и пришлите мне в ЛС ссылку на скачивание.
После этого удалите из менеджер расширений AdBlock 39.0

ProXlada 04-04-2015 14:29 2491711
adwcleaner.exe удалила как было сказано:
Цитата:
Цитата regist
Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве. »

Я обычный среднестатический пользователь и многие расширения совершенно для меня не понятны. Вот :
Extension bepbmhgboaologfdajaanbcjmnhjmhfn 0
Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0
Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.10
Extension lccekmodgklaepjeofjdjpbminllajkg 1 Chrome Hotword Shared Module 0.3.0.2
Extension mfehgcgbbipciphmccgaenjidiccnmng Cloud Print 0.1
Extension mfffpogegjflfpflabcdkioaeobkgjik GaiaAuthExtension 0.0.1
Extension mgndgikekgjfcpckkfioiadnlibdjbkf Chrome 0.1
Extension nbpagnldghgfoolbancepceaanlmhfmd 1 Hotword triggering 0.0.1.3
Extension nkeimhogjdpnpccoofpliimaahmaaome Hangout Services 1.0

Цитата:
Цитата regist
Папку
Код: Выделить весь код
C:\Users\Пользователь\AppData\Local\Google\Chrome\Extension\gighmmpiobklfepjocnamgkkbiglidom
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
а также этот же архив загрузите на http://rghost.ru/ и пришлите мне в ЛС ссылку на скачивание.
После этого удалите из менеджер расширений AdBlock 39.0 »
Остальное сделала отослала и по форме и вам в лс. AdBlock 39.0 из менеджер расширений удалила. Нужно что-то ещё ? Реклама больше не всплывает, чему несказанно рада. В любом случае благодарю за помощь!

regist 04-04-2015 14:52 2491716
На этом можно закончить, но раз остальные расширения не знакомы, то давайте их тоже зачистим (тем более что они тоже потребляют ресурсы и тормозят работу).

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

ProXlada 04-04-2015 15:45 2491731
Вложений: 2
Сделала.

regist 04-04-2015 17:45 2491773
У вас там оказывается ещё остатки старой заразы, аж с 2011 года остались ;).

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-756931912-3927492951-1065201170-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Homepage: hxxp://mail.ru/cnt/10445?gp=openpart1
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
CHR DefaultSuggestURL: Default -> http://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Plugin: (McAfee Security Scanner +) - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
CHR HKLM\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - https://clients2.google.com/service/update2/crx
Folder:C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7
Folder:C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l
Folder:C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

потом

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\', '*.exe', false, '', 0, 0);
 QuarantineFile('C:\ProgramData\yivouaat.sfe', '');
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\phatk110817.cl', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\poclbm110817.cl', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\libpthread-2.dll', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\libpthread-2.dll');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\example-cfg.json', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\example-cfg.json');
 DeleteFile('C:\ProgramData\yivouaat.sfe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\phatk110817.cl');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\poclbm110817.cl');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\', '*.exe', false);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


сделайте свежие логи Farbar Recovery Scan Tool

ProXlada 05-04-2015 12:00 2491969
Вложений: 3
Цитата:
Цитата regist
У вас там оказывается ещё остатки старой заразы, аж с 2011 года остались . »
Надо же :)
Вот, готово. quarantine.zip очень тяжёлый файл получился 180 мб. через почтовый ящик отправляю.

regist 05-04-2015 22:13 2492132
Цитата:
Цитата regist
остатки старой заразы, аж с 2011 года остались »
это остатки от биткоин майнера были.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
2011-09-21 09:46 - 2011-09-21 09:46 - 0000000 ____H () C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6
2011-09-25 11:20 - 2011-09-25 11:20 - 0000000 ____H () C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7
2011-09-27 22:28 - 2011-09-27 22:28 - 0000000 ____H () C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l
2011-10-01 08:57 - 2011-10-01 08:57 - 0000000 ____H () C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl
2011-09-19 11:03 - 2011-09-19 11:03 - 0000000 ____H () C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK
2011-09-30 09:46 - 2011-08-14 23:40 - 0318019 _____ () C:\Users\Пользователь\AppData\Roaming\libcurl-4.dll
2011-09-30 09:46 - 2010-06-11 17:48 - 0148760 _____ () C:\Users\Пользователь\AppData\Roaming\libpdcurses.dll
2011-02-10 01:35 - 2013-11-14 09:41 - 0015872 _____ () C:\Users\Пользователь\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2012-10-19 16:46 - 2012-10-04 11:31 - 0000036 _____ () C:\Users\Пользователь\AppData\Local\installLang.ini
CHR Plugin: (McAfee Security Scanner +) - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

ProXlada 06-04-2015 06:23 2492188
Вложений: 1
Сделала.


Время: 05:34.

Время: 05:34.
© OSzone.net 2001-