Здравствуйте, помогите с лечением вируса Attrib.exe

165991

Логи выше

webcompanion деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ из папки Autologger (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','');
QuarantineFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','');
DeleteFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','32');
DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','64');
DeleteSchedulerTask('System\SystemCheck');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mypoisk.su/
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)





Скачайте AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250).

166001

Добрый вечер, web companion давно удалён, не имею представление почему он оказался в логах...
Quarantine.7z отправил по форме, также прикрепляю свежие логи к этому сообщению. Спасибо!

166002

Также прикрепляю логи AdwCleaner:166003

Не крепите вредосное ПО на форуме.


Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250/#post-157088).


Скачайте Farbar Recovery Scan Tool ('https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/') (или с зеркала ('https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/')) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве. ('https://safezone.cc/threads/17759/')

Добрый день, AdwCleaner[Cxx].txt не создается, судя по всему потому, что карантин я очистил после проверки по случайности еще вчера, всё из него удалено и при повторной проверки вирусы не найдены. Также прикрепляю FRST.txt и Addition.txt. И также прикрепляю AdwCleaner[Sxx].txt. А так фактически проблема решена. Как я понял, дело было в WebCompanion, появился он у меня после установки торрента, торрент я тоже удалил так что все хорошо. Благодарю за помощь. Что то ёще нужно сделать?

166004
166005
166006

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Данил\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
CHR StartupUrls: Default -> "hxxp://rusearch.co"
FirewallRules: [{35B28BC2-0379-4FF0-824D-00A646AEDEBF}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{AF8DD9F2-4265-40CE-A506-CE52CAB1096A}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{5718748B-5850-426D-9926-6D00B7A15463}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{A6C81453-76FE-4392-9A38-F7C435B5FB67}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [TCP Query User{5F51A20F-B219-4218-A480-4364D116318B}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{45AC1C7D-1E22-4651-B583-E440F51BDADB}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1EC38333-6845-440E-8948-C3E5F3E08307}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{95988D70-8FAE-4153-BAA5-BBBF981C4A7A}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{46F3D62E-3AAA-4681-8082-91F297120B0F}] => (Allow) C:\Users\Данил\AppData\Local\Mail.Ru\Atom\Application\atom.exe => Нет файла
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').


После проверяйте проблему.

Доброго времени суток, прикрепляю логи фикса. Проблема решена, спасибо вам огромное:) И кстати, она была решена сразу после работы adwcleaner.
166020

В завершение и на будущее:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.


Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.