Здравствуйте, попался очень заверусованный ноутбук. Проверил разобранными утилитами ему полегчло. Захотел поставить касперсокго, но на стадии активации возникает проблема. Касперский ругается, что не может подсоединится к серверу. С заходом на сайтам антивирусов проблем нет и скачивать с них могу, помогите.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zasxter, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {93a3111f-4f74-4ed8-895e-d9708497629e} - (no file) O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: (no name) - {377e5d4d-77e5-476a-8716-7e70a9272da0} - (no file) O4 - Startup: SmartWeb.lnk = User\AppData\Local\SmartWeb\SmartWebHelper.exe
После перезагрузки выполните скрипт:Код:begin ExecuteAVUpdate; SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\jnsc1637.tmp'); TerminateProcessByName('c:\windows\microsoft\sogrmed\media player zupdater.exe'); TerminateProcessByName('c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\nsad901.tmp'); TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe'); StopService('wpsvc_1.10.0.5'); StopService('UpdatingServiceMed'); StopService('sutyjipe'); StopService('sogrMed'); StopService('jecefube'); StopService('IHProtect Service'); QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll',''); QuarantineFile('C:\Users\User\AppData\Roaming\omiga-plus\UninstallManager.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\XQKGBW.exe',''); QuarantineFile('C:\PROGRA~3\pennybee\pennybee.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\SYD.exe',''); QuarantineFile('C:\Program Files (x86)\ver7SpeedCheck\y2SpeedCheckF72.exe',''); QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\WordProser_1.10.0.5\Service\wpsvc.exe',''); QuarantineFile('C:\WINDOWS\Microsoft\UpdatingServiceMed\Media Player ZNewVersionDownloader.exe',''); QuarantineFile('c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\jnsc1637.tmp',''); QuarantineFile('c:\windows\microsoft\sogrmed\media player zupdater.exe',''); QuarantineFile('c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\nsad901.tmp',''); QuarantineFile('c:\program files (x86)\xtab\protectservice.exe',''); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk'); DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\B85267A8-1427889389-E211-A2B2-2089843A377E\nsaD901.tmp','32'); DeleteFile('C:\WINDOWS\Microsoft\sogrMed\Media Player ZUpdater.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\B85267A8-1427889389-E211-A2B2-2089843A377E\jnsc1637.tmp','32'); DeleteFile('C:\WINDOWS\Microsoft\UpdatingServiceMed\Media Player ZNewVersionDownloader.exe','32'); DeleteFile('C:\Program Files (x86)\WordProser_1.10.0.5\Service\wpsvc.exe','32'); DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Program Files (x86)\ver7SpeedCheck\y2SpeedCheckF72.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SpeedCheck Update','64'); DeleteFile('C:\Users\User\AppData\Roaming\SYD.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SYD','64'); DeleteFile('C:\PROGRA~3\pennybee\pennybee.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Tempo Runner','64'); DeleteFile('C:\Users\User\AppData\Roaming\XQKGBW.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\XQKGBW','64'); DeleteFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{D9620D14-FB94-4F61-AEAC-29DDBFDC4973}','64'); DeleteFile('C:\Users\User\AppData\Roaming\omiga-plus\UninstallManager.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{F771E698-0595-41A6-B430-96ED6581F76A}','64'); DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32'); DelBHO('{377e5d4d-77e5-476a-8716-7e70a9272da0}'); DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}'); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); DelBHO('{93a3111f-4f74-4ed8-895e-d9708497629e}'); DeleteService('wpsvc_1.10.0.5'); DeleteService('UpdatingServiceMed'); DeleteService('sutyjipe'); DeleteService('sogrMed'); DeleteService('jecefube'); DeleteService('IHProtect Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
сделал.
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll',''); QuarantineFile('C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe ',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\XQKGBW.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\SYD.exe',''); QuarantineFile('C:\Program Files (x86)\ver7SpeedCheck\y2SpeedCheckF72.exe',''); QuarantineFile('C:\PROGRA~3\pennybee\pennybee.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\NKEY.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\NJZYDR.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\LF.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\ILP.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\GNOK.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\BYAIAMUF.exe',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); DeleteFile('C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe '); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\BYAIAMUF.exe','32'); DeleteFile('C:\WINDOWS\Tasks\BYAIAMUF.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\GNOK.exe','32'); DeleteFile('C:\WINDOWS\Tasks\GNOK.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\ILP.exe','32'); DeleteFile('C:\WINDOWS\Tasks\ILP.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\LF.exe','32'); DeleteFile('C:\WINDOWS\Tasks\LF.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\NJZYDR.exe','32'); DeleteFile('C:\WINDOWS\Tasks\NJZYDR.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\NKEY.exe','32'); DeleteFile('C:\WINDOWS\Tasks\NKEY.job','64'); DeleteFile('C:\PROGRA~3\pennybee\pennybee.exe','32'); DeleteFile('C:\WINDOWS\Tasks\pennybee Runner.job','64'); DeleteFile('C:\Program Files (x86)\ver7SpeedCheck\y2SpeedCheckF72.exe','32'); DeleteFile('C:\WINDOWS\Tasks\SpeedCheck Update.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\SYD.exe','32'); DeleteFile('C:\WINDOWS\Tasks\SYD.job','64'); DeleteFile('C:\WINDOWS\Tasks\Tempo Runner.job','64'); DeleteFile('C:\Users\User\AppData\Roaming\XQKGBW.exe','32'); DeleteFile('C:\WINDOWS\Tasks\XQKGBW.job','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\WINDOWS\system32\Tasks\BYAIAMUF','64'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\extsetup','64'); DeleteFile('C:\WINDOWS\system32\Tasks\GNOK','64'); DeleteFile('C:\WINDOWS\system32\Tasks\GoforFilesUpdate','64'); DeleteFile('C:\WINDOWS\system32\Tasks\ILP','64'); DeleteFile('C:\WINDOWS\system32\Tasks\LF','64'); DeleteFile('C:\WINDOWS\system32\Tasks\NJZYDR','64'); DeleteFile('C:\WINDOWS\system32\Tasks\NKEY','64'); DeleteFile('C:\WINDOWS\system32\Tasks\pennybee Runner','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- обновите базы AVZ перед тем как начнете делать новые логи. Если не получится обновить, сообщите ошибку которая выдается при попытке обновления.Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
AVZ автоматически обновляться не хочет пишет "ошибка загрузки файла с описанием обновлния avzupd с http://www.z-oleg.com/secur/avz_up/[21,00002ee7]", я его обновил скачав базу в ручную.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+ Сделайте полный образ автозапуска uVS
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Образ автозапуска получается слишком большой в архиве 1.5 мб. Не могу его загрузит, может просто удалить подозрительные процессы?
- - - - -Добавлено - - - - -
Сейчас попробовал активировать Касперок, получилось и avz тоже стал обновятся. На мой взгляд проблема решена, спасибо.
Давайте попробуем его на внешний файлообменник загрузить, можно на http://rghost.ru/, а ссылку на образ в следующем сообщении напишите.Сообщение от zasxter
Самостоятельно не стоит, утилиты могут ошибаться выдав за подозрительный процесс, что ни будь критически важное для системы.
Пока что не за что. Давайте все же посмотрим на образ uVS, вдруг что ни будь осталось.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\wordproser_1.10.0.5\service\wpsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.a
- c:\program files (x86)\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.qt
- c:\program files (x86)\xtab\suptab.dll - not-a-virus:AdWare.Win32.SearchProtect.qt ( DrWEB: Adware.Mutabaha.267 )
- c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\jnsc1637.tmp - not-a-virus:AdWare.Win32.ConvertAd.adn
- c:\users\user\appdata\roaming\b85267a8-1427889389-e211-a2b2-2089843a377e\nsad901.tmp - not-a-virus:AdWare.Win32.ConvertAd.aer
- c:\users\user\appdata\roaming\ilp.exe - not-a-virus:RiskTool.Win32.Agent.wid ( BitDefender: Gen:Application.Heur.zv0@ke1UWWaO, AVAST4: Win32:Malware-gen )
- c:\users\user\appdata\roaming\syd.exe - not-a-virus:WebToolbar.Win32.CrossRider.wpx ( BitDefender: Gen:Application.Heur.uv0@kyrk0enO, AVAST4: Win32:Malware-gen )
- c:\users\user\appdata\roaming\xqkgbw.exe - not-a-virus:WebToolbar.Win32.CrossRider.xjb ( BitDefender: Gen:Application.Heur.Zv0@kqCppfgO, AVAST4: Win32:Malware-gen )
- c:\windows\microsoft\sogrmed\media player zupdater.exe - not-a-virus:AdWare.MSIL.Agent.bff ( AVAST4: Win32:GenMaliciousA-RSR [Adw] )
- c:\windows\microsoft\updatingservicemed\media player znewversiondownloader.exe - not-a-virus:AdWare.MSIL.Agent.bfo ( AVAST4: Win32:GenMaliciousA-RSR [Adw] )
Уважаемый(ая) zasxter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
