Браузер Амиго и сопутствующие с ним приложения

@nOOb_030 · Регистрация: 15.12.2015

Author24 — интернет-сервис помощи студентам

Добрый день! Поймал какой-то вирус, который постоянно устанавливает программы на компьютер, браузер Амиго, создает ярлыки, в контакте, одноклассники и тд, постоянно открывает Амиго.
Логи прикрепляю

@shestale · 16.12.2015, 08:48

Внимание! Рекомендации написаны специально для nOOb_030. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\1\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\hnsd36a4.tmp', '');
 QuarantineFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\jnsje8a.tmp', '');
 QuarantineFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\knsjf144.tmpfs', '');
 QuarantineFile('c:\users\1\appdata\local\temp\nsf2bf9.tmp', '');
 QuarantineFile('c:\users\1\appdata\local\a07c9f9b-1450203760-de11-ac7d-ba4f744d9882\qnsrf0b7.tmp', '');
 QuarantineFile('c:\users\1\appdata\local\smartweb\smartwebapp.exe', '');
 QuarantineFile('c:\users\1\appdata\local\smartweb\smartwebhelper.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\users\1\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\SmartWeb\swhk.dll', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\daemon2.exe', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010176\gmsd_ru_005010176.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\xDWLLfMGsbCN\ycAAlveMJGtRDcY0.bat', '');
 QuarantineFile('C:\ProgramData\gtullAjG\kvWSEyDufi5.bat', '');
 QuarantineFile('C:\Users\1\appdata\local\smartweb\__u.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\hnsd36a4.tmp', '32');
 DeleteFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\jnsje8a.tmp', '32');
 DeleteFile('c:\program files (x86)\a07c9f9b-1450166014-de11-ac7d-ba4f744d9882\knsjf144.tmpfs', '32');
 DeleteFile('c:\users\1\appdata\local\temp\nsf2bf9.tmp', '32');
 DeleteFile('c:\users\1\appdata\local\a07c9f9b-1450203760-de11-ac7d-ba4f744d9882\qnsrf0b7.tmp', '32');
 DeleteFile('c:\users\1\appdata\local\smartweb\smartwebapp.exe', '32');
 DeleteFile('c:\users\1\appdata\local\smartweb\smartwebhelper.exe', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('c:\users\1\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\SmartWeb\swhk.dll', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010176\gmsd_ru_005010176.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\xDWLLfMGsbCN\ycAAlveMJGtRDcY0.bat', '32');
 DeleteFile('C:\ProgramData\gtullAjG\kvWSEyDufi5.bat', '32');
 DeleteFile('C:\Users\1\appdata\local\smartweb\__u.exe', '32');
 DeleteFileMask('c:\users\1\appdata\local\smartweb', '*', true);
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
 DeleteDirectory('c:\users\1\appdata\local\smartweb');
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 DeleteDirectory('C:\Program Files (x86)\Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010176.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010176','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 DeleteService('ginoquci');
 DeleteService('hidekoqe');
 DeleteService('rizyqibe');
 DeleteService('SSFK');
 DeleteService('wucihivu');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Windows Batch file

1
2
3

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению не нужно!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@nOOb_030 · 16.12.2015, 16:38 **[ТС]**

Всё выполнено, файл прикрепляю!

@shestale · 17.12.2015, 12:23

Сообщение от shestale

Подготовьте лог AdwCleaner.

Где лог???
+
Еще раз Удалите параметры запуска ярлыков.
Лог покажите.

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.12.2015, 12:23	4
	Сообщение от shestale Подготовьте лог AdwCleaner. Где лог??? + Еще раз Удалите параметры запуска ярлыков. Лог покажите. 0

Опции темы