- Статус
- Сообщения
- 24,150
- Реакции
- 13,531
c:\dupe hack by medols v.1 - сами ставили софт для удаленного управления?
ucbrowser - сами устанавливали?
Необходимо деинсталировать: UBar
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте при помощи этой формы
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Какие из IP принадлежат вашему провайдеру?
178.132.6.57
193.238.153.54
46.101.28.31
52.56.51.39
82.202.226.203
213.87.72.155
213.87.75.99
81.171.10.42
94.130.44.229
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Подробнее читайте в этом руководстве.
ucbrowser - сами устанавливали?
Необходимо деинсталировать: UBar
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('SvcHost Service Host');
StopService('Ea3Host');
SetServiceStart('Ea3Host', 4);
SetServiceStart('SvcHost Service Host', 4);
QuarantineFile('C:\Users\Chicken\AppData\Local\wupdate\wupdate.exe','');
QuarantineFile('C:\Users\Samp\AppData\Local\wmipr\wmipr.exe','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\setupsk\python\pythonw.exe','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\setupsk\ml.py','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\Users\Samp\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\Chicken\AppData\Local\indexer\indexer.exe','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\curl\curl.exe','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll','');
QuarantineFile('C:\Users\Samp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','');
QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
QuarantineFile('c:\users\samp\appdata\local\yc\application\yc.exe','');
QuarantineFile('c:\users\samp\appdata\local\wmipr\wmipr.exe','');
QuarantineFile('c:\users\samp\appdata\roaming\sysfiles\vshub.exe','');
QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
QuarantineFile('c:\windows\microsoft\svchost.exe','');
QuarantineFile('c:\users\samp\appdata\local\temp\f4ca.tmp.exe','');
QuarantineFile('c:\users\samp\appdata\local\temp\109.tmp.exe','');
DeleteFile('c:\users\samp\appdata\local\temp\109.tmp.exe','32');
DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
DeleteFile('c:\users\samp\appdata\local\temp\f4ca.tmp.exe','32');
DeleteFile('c:\windows\microsoft\svchost.exe','32');
DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
DeleteFile('c:\users\samp\appdata\roaming\sysfiles\vshub.exe','32');
DeleteFile('c:\users\samp\appdata\local\wmipr\wmipr.exe','32');
DeleteFile('c:\users\samp\appdata\local\yc\application\yc.exe','32');
DeleteFile('C:\Windows\Microsoft\svchost.exe','32');
DeleteFile('C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll','32');
DeleteFile('C:\Windows\system32\Tasks\curl','64');
DeleteFile('C:\Users\Samp\AppData\Roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\Users\Samp\AppData\Roaming\curl\curl.exe','32');
DeleteFile('C:\Windows\system32\Tasks\curls','64');
DeleteFile('C:\Users\Chicken\AppData\Local\indexer\indexer.exe','32');
DeleteFile('C:\Windows\system32\Tasks\indexer','64');
DeleteFile('C:\Windows\system32\Tasks\MSI','64');
DeleteFile('C:\Users\Samp\AppData\Local\SearchGo\searchgo.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','64');
DeleteFile('C:\Users\Samp\AppData\Roaming\Microsoft\msi.exe','32');
DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
DeleteFile('C:\Users\Samp\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\Users\Samp\AppData\Roaming\SETUPS~1\ml.py','32');
DeleteFile('C:\Users\Samp\AppData\Roaming\setupsk\python\pythonw.exe','32');
DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64');
DeleteFile('C:\Users\Chicken\AppData\Roaming\driver\driver.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Defender','64');
DeleteFile('C:\Users\Samp\AppData\Local\wmipr\wmipr.exe','32');
DeleteFile('C:\Windows\system32\Tasks\wmipr','64');
DeleteFile('C:\Users\Chicken\AppData\Local\wupdate\wupdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\wupdate','64');
DeleteFile('C:\Windows\microsoft\svchost.exe.exe','32');
DeleteFile('C:\Windows\microsoft\svchost.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1082804275-3284897082-2107601924-1001\Software\Microsoft\Windows\CurrentVersion\Run','mnagscburf');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1082804275-3284897082-2107601924-1001\Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_F92EDC2AEB376D46FF551AAAF3CACE02');
DeleteService('SvcHost Service Host');
DeleteService('Ea3Host');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте при помощи этой формы
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll
O3-32 - Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Какие из IP принадлежат вашему провайдеру?
178.132.6.57
193.238.153.54
46.101.28.31
52.56.51.39
82.202.226.203
213.87.72.155
213.87.75.99
81.171.10.42
94.130.44.229
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,150
- Реакции
- 13,531
Деинсталировать
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: VirusTotal: C:\Dupe Hack by Medols V.1\rutserv.exe;C:\Dupe Hack by Medols V.1\rfusclient.exe;C:\Users\Samp\AppData\Roaming\Sysfiles\vshub.exe (TektonIT) C:\Dupe Hack by Medols V.1\rutserv.exe (TektonIT) C:\Dupe Hack by Medols V.1\rfusclient.exe C:\Dupe Hack by Medols V.1\ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-1082804275-3284897082-2107601924-1000\...\MountPoints2: {257b5481-47ce-11e7-a19e-90a4de9c0102} - E:\AutoRun.exe InternetURL: C:\Users\Samp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url -> URL: file:///C:\Users\Samp\AppData\Roaming\Sysfiles\vshub.exe GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION R2 RManService; C:\Dupe Hack by Medols V.1\rutserv.exe [6300368 2016-06-18] (TektonIT) [File not signed] R2 UbarCalloutDriver; C:\Program Files\UBar\UbarDriver.sys [13896 2017-07-29] () <==== ATTENTION 2017-08-25 14:27 - 2017-08-25 14:27 - 000000000 ____D C:\Users\Samp\AppData\Local\Chromium 2017-08-25 14:23 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Roaming\curl 2017-08-25 14:23 - 2017-08-25 14:23 - 000000000 ____D C:\Users\Samp\AppData\Local\Вoйти в Интeрнет 2017-08-25 14:22 - 2017-08-25 18:11 - 000000000 ____D C:\Users\Samp\AppData\Local\yc 2017-08-25 14:20 - 2017-08-25 14:20 - 000000000 ____D C:\Users\Samp\AppData\Local\wupdate 2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\LocalLow\SearchGo 2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Local\wmipr 2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Local\SearchGo 2017-08-25 14:18 - 2017-08-25 14:18 - 000000000 ____D C:\Users\Samp\AppData\Local\ZaxarGameBrowser Task: {1E4D9278-5254-4A56-B0F7-78BD9BB4A29D} - \SearchGo Task -> No File <==== ATTENTION Task: {3D9F013B-F1AA-4E76-BE07-2F545280CB61} - \curl -> No File <==== ATTENTION Task: {694791E6-8A46-4B51-B328-7BE8F5390ECF} - \setupsk -> No File <==== ATTENTION Task: {8AF1F997-C6A7-4D83-9DA3-14690F94341F} - \wupdate -> No File <==== ATTENTION Task: {941E8E08-076D-49EC-B2B4-D9069842D704} - \curls -> No File <==== ATTENTION Task: {C0DDF6D1-8190-4B22-9CBA-2D88C9FAEA98} - \setupsk_upd -> No File <==== ATTENTION Task: {C300BC7C-0EA1-42F5-9EB2-651D14B1C047} - \Windows Defender -> No File <==== ATTENTION Task: {C339AA94-C290-47E0-B63C-455C5EB98A84} - \MSI -> No File <==== ATTENTION Task: {CE762915-6939-4C96-B111-0F9FCA536986} - \wmipr -> No File <==== ATTENTION Task: {E48EC842-BDB7-4851-BC05-64AC1C80E29A} - \indexer -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [432] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [432] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432] AlternateDataStreams: C:\Users\Chicken\Application Data:NT [40] AlternateDataStreams: C:\Users\Chicken\Application Data:NT2 [432] AlternateDataStreams: C:\Users\Chicken\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Chicken\AppData\Roaming:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40] AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Оставшиеся открытые вопросы:
- Сообщения
- 24,150
- Реакции
- 13,531
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: Tcpip\..\Interfaces\{08A65680-5C48-4E50-822C-111E2E3ED9F3}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54 Tcpip\..\Interfaces\{648FB5C1-3F5A-4703-9ADE-7DDA677E0B2B}: [NameServer] 213.87.75.99 213.87.72.155 Tcpip\..\Interfaces\{B0A1456D-9AF3-4362-AB0B-299B18ABE36A}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54 Tcpip\..\Interfaces\{B1874FEE-C39F-46A8-BFEC-37D177167553}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,193.238.153.54,82.202.226.203,81.171.10.42,94.130.44.229 Tcpip\..\Interfaces\{C0AC2CE5-EAC8-4AEC-A17E-BFD1836EA5B4}: [NameServer] 213.87.72.155 213.87.75.99 Tcpip\..\Interfaces\{D361A89F-2561-446B-9A69-CF3C5DD86586}: [NameServer] 213.87.72.155 213.87.75.99 EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
И сделайте свежий лог FRST для контроля.
- Статус