Поймал вирус Advanced PC Care, Амиго браузер, спутник маил ру, приложение вк, приложение одноклассники

@Maxxxxxxx · Регистрация: 04.12.2010

Author24 — интернет-сервис помощи студентам

Приветствую. поймал вирус когда искал типовые проекты.
на комп попали программы: Амиго браузер, спутник маил ру, приложение вк, приложение одноклассники, Wajam, Advanced PC Care, mysites123 (start-page).
Прошу помочь. Спасибо.

@Maxxxxxxx · 11.03.2016, 06:17 **[ТС]**

кто нибудь даст ответ?

@thyrex · 11.03.2016, 23:51

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\Program Files\WNetworkEn\840e9d3a6fa7acc993efb2893cf19b81.exe');
 TerminateProcessByName('c:\users\haidarov.m.i\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe');
 TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
 TerminateProcessByName('c:\program files (x86)\hpdef\iilayz.exe');
 TerminateProcessByName('c:\programdata\ronzap\ronzap.exe');
 TerminateProcessByName('c:\programdata\serfev\serfev.exe');
 SetServiceStart('BitTorrent', 4);
 SetServiceStart('HSystem', 4);
 SetServiceStart('Ronzap', 4);
 SetServiceStart('serfev', 4);
 SetServiceStart('WNetworkEn Monitor', 4);
QuarantineFile('C:\Users\haidarov.m.i\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 QuarantineFile('C:\Users\haidarov.m.i\AppData\Roaming\567377707A_1036\uV07yMGC6P.exe','');
 QuarantineFile('C:\ProgramData\fWjtbqmSqd\VofvoGGAA5.bat','');
 QuarantineFile('C:\Users\haidarov.m.i\AppData\Local\dsYTxLQxdz\rdyDKnF0.bat','');
 QuarantineFile('C:\ProgramData\jQXxrclJph\cjTvic0.bat','');
 QuarantineFile('C:\Users\haidarov.m.i\AppData\Local\ProfitSaver\config.json','');
 QuarantineFile('C:\Users\haidarov.m.i\AppData\Local\ProfitSaver\stub.exe','');
 QuarantineFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','');
 QuarantineFile('C:\ProgramData\serfev\Donzamflex.dll','');
 QuarantineFile('c:\programdata\serfev\serfev.exe','');
 QuarantineFile('c:\programdata\ronzap\ronzap.exe','');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('C:\Program Files\WNetworkEn\840e9d3a6fa7acc993efb2893cf19b81.exe','');
 DeleteFile('C:\Program Files\WNetworkEn\840e9d3a6fa7acc993efb2893cf19b81.exe','32');
 DeleteFile('c:\users\haidarov.m.i\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe','32');
 DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
 DeleteFile('c:\programdata\ronzap\ronzap.exe','32');
 DeleteFile('c:\programdata\serfev\serfev.exe','32');
 DeleteFile('C:\ProgramData\serfev\Donzamflex.dll','32');
 DeleteFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','32');
 DeleteFile('C:\Users\haidarov.m.i\AppData\Local\ProfitSaver\stub.exe','32');
 DeleteFile('C:\Users\haidarov.m.i\AppData\Local\ProfitSaver\config.json','32');
 DeleteFile('C:\ProgramData\jQXxrclJph\cjTvic0.bat','32');
 DeleteFile('C:\Users\haidarov.m.i\AppData\Local\dsYTxLQxdz\rdyDKnF0.bat','32');
 DeleteFile('C:\ProgramData\fWjtbqmSqd\VofvoGGAA5.bat','32');
 DeleteFile('C:\Users\haidarov.m.i\AppData\Roaming\567377707A_1036\uV07yMGC6P.exe','32');
 DeleteFile('C:\Windows\Tasks\567377707A_1036.job','32');
 DeleteFile('C:\Windows\system32\Tasks\567377707A_1036','64');
 DeleteFile('C:\Windows\system32\Tasks\Advanced PC Care_Logon','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
 DeleteFile('C:\Users\haidarov.m.i\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteService('dqwuloadio');
 DeleteService('AppVerifier');
 DeleteService('WNetworkEn Monitor');
 DeleteService('serfev');
 DeleteService('Ronzap');
 DeleteService('HSystem');
 DeleteService('BitTorrent'); 
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ProfitSaver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IconRunner');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Maxxxxxxx · 14.03.2016, 08:08 **[ТС]**

Отчеты

@thyrex · 14.03.2016, 19:43

Сделайте лог МВАМ

@Maxxxxxxx · 15.03.2016, 07:52 **[ТС]**

отчет mbam

@thyrex · 16.03.2016, 06:49

Удалите в МВАМ все найденное

@Maxxxxxxx · 17.03.2016, 09:49 **[ТС]**

Удалил. Огромное спасибо за помощь.

@thyrex · 19.03.2016, 09:48

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@Maxxxxxxx 2 / 1 / 0 Регистрация: 04.12.2010 Сообщений: 17
	11.03.2016, 06:17 [ТС]	2
	кто нибудь даст ответ? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	14.03.2016, 19:43	5
	Сделайте лог МВАМ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	16.03.2016, 06:49	7
	Удалите в МВАМ все найденное 0

@Maxxxxxxx 2 / 1 / 0 Регистрация: 04.12.2010 Сообщений: 17
	17.03.2016, 09:49 [ТС]	8
	Удалил. Огромное спасибо за помощь. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	19.03.2016, 09:48	9
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 0