Показано с 1 по 12 из 12.

Помогите [Trojan-Dropper.Win32.Sysn.aqvs, not-a-virus:WebToolbar.Win32.Iminnent.c ] (заявка № 173673)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2012
    Сообщений
    55
    Вес репутации
    16

    Помогите [Trojan-Dropper.Win32.Sysn.aqvs, not-a-virus:WebToolbar.Win32.Iminnent.c ]

    в последнее время комп начал работать медленней иногда происходят кратковременные зависания, возможно есть вирус но я неуверен так как антивирусник ничего ненаходит. логи прилагаються

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) pavelnb, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\admin\appdata\roaming\newsi_2\s_inst.exe', '');
     QuarantineFile('C:\Windows\system32\mjcm\5113\nsib.dll', '');
     QuarantineFile('C:\Windows\system32\jmdp\stij.exe', '');
     QuarantineFile('C:\Windows\system32\jmdp\lmrn.dll', '');
     QuarantineFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll', '');
     QuarantineFile('C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll', '');
     QuarantineFile('C:\Program Files\IB Updater\Extension32.dll', '');
     QuarantineFile('C:\Users\admin\M-978675235415685794657786\winsvc.exe', '');
     QuarantineFile('C:\Users\admin\M-502545038604832764890486035\winmgr.exe', '');
     QuarantineFile('C:\Users\admin\AppData\Roaming\eTranslator\eTranslator.exe', '');
     QuarantineFile('C:\PROGRA~2\Local Settings\Temp\mswazaa.com', '');
     DeleteFile('C:\PROGRA~1\VideoDownloadConverter_4z\bar\1.bin\4zsrchmn.exe', '32');
     DeleteFile('C:\PROGRA~2\Local Settings\Temp\mswazaa.com', '32');
     DeleteFile('C:\Program Files\MiPony\MiPony.exe', '32');
     DeleteFile('C:\Users\admin\AppData\Local\Kometa\Application\kometa.exe', '32');
     DeleteFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe', '32');
     DeleteFile('C:\Users\admin\AppData\Roaming\eTranslator\eTranslator.exe', '32');
     DeleteFile('C:\Users\admin\M-502545038604832764890486035\winmgr.exe', '32');
     DeleteFile('C:\Users\admin\M-978675235415685794657786\winsvc.exe', '32');
     DeleteFile('C:\Program Files\IB Updater\Extension32.dll', '32');
     DeleteFile('C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll', '32');
     DeleteFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll', '32');
     DeleteFile('C:\Windows\system32\jmdp\lmrn.dll', '32');
     DeleteFile('C:\Windows\system32\jmdp\stij.exe', '32');
     DeleteFile('C:\Windows\system32\mjcm\5113\nsib.dll', '32');
     DeleteFile('C:\Users\admin\appdata\roaming\newsi_2\s_inst.exe', '32');
     DeleteFile('c:\progra~1\sw-booster\assistant.dll', '32');
     DeleteService('TicnoIndexator');
     DeleteFileMask('C:\Windows\system32\mjcm\5113', '*', true);
     DeleteFileMask('C:\Users\admin\appdata\roaming\newsi_2', '*', true);
     DeleteFileMask('C:\Users\admin\M-978675235415685794657786\', '*', true);
     DeleteFileMask('C:\Program Files\Speed Analysis 3', '*', true);
     DeleteFileMask('C:\Program Files\Iminent', '*', true);
     DeleteFileMask('C:\Users\admin\AppData\Roaming\eTranslator', '*', true);
     DeleteFileMask('C:\PROGRA~1\VideoDownloadConverter_4z', '*', true);
     DeleteFileMask('C:\Program Files\IB Updater', '*', true);
     DeleteDirectory('C:\Windows\system32\mjcm\5113');
     DeleteDirectory('C:\Users\admin\appdata\roaming\newsi_2');
     DeleteDirectory('C:\Users\admin\M-978675235415685794657786\');
     DeleteDirectory('C:\Program Files\Speed Analysis 3');
     DeleteDirectory('C:\Program Files\Iminent');
     DeleteDirectory('C:\Users\admin\AppData\Roaming\eTranslator');
     DeleteDirectory('C:\PROGRA~1\VideoDownloadConverter_4z');
     DeleteDirectory('C:\Program Files\IB Updater');
     DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
     DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
     DelBHO('{e7e8ed77-2fba-4ec6-bc07-65de4de6709f}');
     DelBHO('{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0}');
     DelBHO('{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}');
     DelBHO('{336D0C35-8A85-403a-B9D2-65C292C39087}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_5900B72B30FA0A1ACC8900BEE77E9884', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkkfoekden', 'command');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    Сделайте лог Check Browsers' LNK.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    16.08.2012
    Сообщений
    55
    Вес репутации
    16
    логи

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
    Код:
    >>> [HTTP][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk"  -> ["C:\firefox.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Mozilla Firefox\" "C:\PROGRA~1\Mozilla Firefox\firefox.exe" "hxxp://savsearch.ru"¶  (MD5:AC4ACDF7CF3F98FE0A4E12EE18C87543)
    >>> [HTTP][RO] "C:\Users\admin\Desktop\1\Войти в Интернет.lnk"  -> ["C:\Users\admin\AppData\Local\chrome.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Xpom\Application\" "C:\Users\admin\AppData\Local\Xpom\Application\chrome.exe" "hxxp://savsearch.ru"¶  (MD5:4FA0F6964280C02A8E98C1FC01C66054)
    >>> [modified][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\opera.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Opera\" "C:\PROGRA~1\Opera\opera.exe" "hxxp://savsearch.ru"¶  (MD5:88732636022E518471428F47F6C9B165)
    >>> [modified][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Елементи Яндекса\Сторінка Елементів Яндекса для Intеrnеt Ехplоrеr.lnk"  -> ["C:\ProgramData\help.bat"  -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\PROGRA~2\Yandex\Elements\" "C:\PROGRA~2\Yandex\Elements\help.url" -- "hxxp://savsearch.ru"¶  (MD5:65F9EFA8AA99112ECB0D35FC71C597A5)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files\Google\chrome.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Google\Chrome\Application\" "C:\PROGRA~1\Google\Chrome\Application\chrome.exe" "hxxp://savsearch.ru"¶  (MD5:7735A721B3600C09BCE13668B421DAB0)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶  (MD5:07F9CEAD5149159C358B6F18E130E073)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files\Google\chrome.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Google\Chrome\Application\" "C:\PROGRA~1\Google\Chrome\Application\chrome.exe" "hxxp://savsearch.ru"¶  (MD5:7735A721B3600C09BCE13668B421DAB0)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk"  -> ["C:\Users\admin\AppData\Local\Yandex\browser.bat"  -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\" "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url" -- "hxxp://savsearch.ru"¶  (MD5:A1A1EA1B6E42F4CA83454F6A476A9242)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶  (MD5:07F9CEAD5149159C358B6F18E130E073)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶  (MD5:07F9CEAD5149159C358B6F18E130E073)
    >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk"  -> ["C:\Users\admin\AppData\Local\Yandex\browser.bat"  -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\" "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url" -- "hxxp://savsearch.ru"¶  (MD5:A1A1EA1B6E42F4CA83454F6A476A9242)
    >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Интернет.lnk"  -> ["C:\Users\admin\AppData\Local\chrome.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Xpom\Application\" "C:\Users\admin\AppData\Local\Xpom\Application\chrome.exe" "hxxp://savsearch.ru"¶  (MD5:4FA0F6964280C02A8E98C1FC01C66054)
    >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk"  -> ["C:\Users\admin\AppData\Local\BrowserManager.bat"  -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\Updater2\" "C:\Users\admin\AppData\Local\Yandex\Updater2\BrowserManager.exe" -- "hxxp://savsearch.ru"¶  (MD5:26E540E7FF080DAC6A1729C06F174DCF)
    >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk"  -> ["C:\Users\admin\AppData\Roaming\YaDesktopStarter.bat"  -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Roaming\Yandex\YandexDisk\" "C:\Users\admin\AppData\Roaming\Yandex\YandexDisk\YaDesktopStarter.exe" -- "hxxp://savsearch.ru"¶  (MD5:DA667051AEFDA5597C7A6E049FF8468E)
    >>> [modified][RO][MASK] "C:\Users\admin\Desktop\1\Оpеrа.lnk"  -> ["C:\opera.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Opera\" "C:\PROGRA~1\Opera\opera.exe" "hxxp://savsearch.ru"¶  (MD5:88732636022E518471428F47F6C9B165)
    - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Kometa.lnk"  -> ["C:\Users\admin\AppData\Local\Kometa\Application\kometa.exe"]
    - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk"  -> ["C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe"]
    - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk"  -> ["C:\Users\admin\AppData\Local\Amigo\Application\go_internet.exe"]
    >>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WoW Atlantis\Ланчер Атлантиса.lnk"  -> ["C:\Atlantis_Launcher.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Atlantis\" "C:\Atlantis\Atlantis_Launcher.exe" "hxxp://savsearch.ru"¶  (MD5:F2B7D51861605E489520D2A591073E9B)
    >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplаy.lnk"  -> ["C:\Program Files\Uplay.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Ubisoft\Ubisoft Game Launcher\" "C:\PROGRA~1\Ubisoft\Ubisoft Game Launcher\Uplay.exe" "hxxp://savsearch.ru"¶  (MD5:423F0E3BD095AC35565D293F08C8BBAF)
    >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk"  -> ["D:\launcher.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"D:\I1432~1\WarThunder\" "D:\I1432~1\WarThunder\launcher.exe" "hxxp://savsearch.ru"¶  (MD5:8EED277E69BFEAC9751D0E6C83F40DB1)
    >>> [HTTP][RO] "C:\Users\admin\Desktop\PС Spееd Up.lnk"  -> ["C:\PCSULauncher.bat"  -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\PC Speed Up\" "C:\PROGRA~1\PC Speed Up\PCSULauncher.exe" "hxxp://savsearch.ru"¶  (MD5:9F2EA84535C1573D44A24A67972ABC35)
    -[*.URL] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software\SpeedUpMyComputer\Website.lnk"  -> ["C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.url"] -> hxxp://vvv.smarttweak.us ( >>> SPEEDUPMYCOMPUTER.exe существует <<< )
    - "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk"  -> ["C:\Program Files\MiPony\MiPony.exe"]
    - "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk"  -> ["C:\Program Files\MiPony\MiPony.exe"]
    - "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url"  ->         hxxp://rugooglee.ru
    - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url"  ->    hxxp://support.dealply.com/
    - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url"  ->         hxxp://vvv.dealply.com/
    Отчёт о работе прикрепите.

    Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладках Службы - KMService, Файлы - C:\Windows\system32\srvany.exe
    Если используете программы, от Mail.Ru - уберите соответствующие галочки на вкладках Папки и в Службы - на
    Код:
    Guard.Mail.ru
    .
    Остальные галочки рекомендую оставить для последующего удаления.

    Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

    P. S.: Ваши логи - пока лидер по найденному количеству шлака в моей практике
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    16.08.2012
    Сообщений
    55
    Вес репутации
    16
    логи приложил, вроде как пока проблемы с кратковременными зависаниями больше невижу

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    16.08.2012
    Сообщений
    55
    Вес репутации
    16
    выложил логи

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Деинсталлируйте программы:

    etranslator
    Kometa
    Qtrax Connection Manager

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3181915952-2439953737-983637178-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\...\Policies\Explorer\Run: [39157] => C:\PROGRA~2\Local Settings\Temp\mswazaa.com No File
    AppInit_DLLs: sdloader.dll => sdloader.dll File Not Found
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> E7A2B76D353381CCDDA7B8F824D1D311 URL = http://search.ticno.com/?c=t&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> {1DA79E68-C581-4776-B3B6-901C0E708128} URL = http://www.mysearchresults.com/search?c=2402&t=01&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> {34F7D18D-CEDF-4B58-B60D-C7A70E6DA9AB} URL = http://search.ticno.com/?c=t&q={searchTerms}
    FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
    FF Plugin HKU\S-1-5-21-3181915952-2439953737-983637178-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
    FF Plugin HKU\S-1-5-21-3181915952-2439953737-983637178-1000: pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
    FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff
    FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha689.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha689\ff
    FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta834.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta834\ff
    FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home823.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home823\ff
    FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode1231.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1231\ff
    2014-12-25 20:57 - 2014-12-30 09:16 - 00000000 _RSHD () C:\Users\admin\M-502545038604832764890486035
    2014-12-25 20:57 - 2014-12-25 20:57 - 00000000 _RSHD () C:\Users\admin\M-978675235415685794657786
    2014-12-25 20:53 - 2014-12-25 20:53 - 00000000 ____D () C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa
    2014-12-25 20:35 - 2014-12-25 20:35 - 00000000 ____D () C:\Users\admin\AppData\Local\Вoйти в Интeрнет 2inf.net
    2014-12-25 20:30 - 2014-12-25 20:30 - 00000000 ____D () C:\Users\admin\AppData\Local\Поиcк в Интeрнете
    2014-12-23 15:55 - 2014-12-26 23:23 - 00000000 ____H () C:\Users\admin\AppData\Roaming\windrv.txt
    2014-12-23 15:55 - 2014-12-23 15:55 - 00000000 _RSHD () C:\Users\admin\M-5025450386048320486035
    2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\Все пользователи\AlterGeo
    2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Искать в Интернете.url
    2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\admin\AppData\Local\MailRu
    2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\ProgramData\AlterGeo
    2014-12-06 15:23 - 2014-12-06 15:23 - 00000001 __RSH () C:\Program Files\AlterGeo
    Task: {67EF6E34-AF73-4C34-A592-39077A199535} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe <==== ATTENTION
    InternetURL: C:\Users\admin\Favorites\Mail.Ru Агент - используй для общения!.url -> hxxp://agent.mail.ru
    InternetURL: C:\Users\admin\Favorites\Mail.Ru.url -> hxxp://www.mail.ru
    InternetURL: C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url -> hxxp://rugooglee.ru
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Очистите кэш и cookies-файлы браузеров.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    16.08.2012
    Сообщений
    55
    Вес репутации
    16
    прикрепил лог

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Удалите папку C:\FRST со всем содержимым.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\iminent\iminent.webbooster.internetexplorer. dll - not-a-virus:WebToolbar.Win32.Iminnent.c
      2. c:\users\admin\appdata\roaming\newsi_2\s_inst.exe - not-a-virus:AdWare.Win32.MMag.k ( DrWEB: Trojan.Fakealert.47029, BitDefender: Gen:Variant.Adware.Graftor.154914 )
      3. c:\users\admin\m-502545038604832764890486035\winmgr.exe - Trojan-Dropper.Win32.Sysn.aqvs ( DrWEB: Trojan.Siggen.65341, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\jmdp\lmrn.dll - not-a-virus:WebToolbar.Win32.Perinet.d
      5. c:\windows\system32\jmdp\stij.exe - not-a-virus:WebToolbar.Win32.Perinet.d
      6. c:\windows\system32\mjcm\5113\nsib.dll - not-a-virus:WebToolbar.Win32.Perinet.d


  • Уважаемый(ая) pavelnb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 21 queries