Торможение, вирусы и не понятные процессы

**kampot** · 09.03.2015, 16:24

В диспетчере задач отображаются непонятные процессы с рандомным названием разширением .tmp. Также svchost.exe сильно нагружает компьютер. Заражен google chrome и показывается всплывающая реклама и открываются другие ссылки.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2015, 16:25

Уважаемый(ая) kampot, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.03.2015, 19:23

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\123\appdata\roaming\closer.exe','');
 QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe','');
 QuarantineFile('C:\Users\123\AppData\Roaming\PWWQKP.exe','');
 QuarantineFile('C:\Users\123\AppData\Roaming\HPCWIQ.exe','');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-5.exe','');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-10.exe','');
 QuarantineFile('C:\Users\123\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\123\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Program Files (x86)\Application Assistance\AppHelper.exe','');
 DeleteService('QMUdisk');
 DeleteService('WINIO');
 QuarantineFile('C:\Users\123\AppData\Local\A1FCAEC1-1425504536-5479-A465-047D7B8DAF53\cnsf52C7.tmp','');
 DeleteService('sysysesy');
 DeleteService('nerelefe');
 QuarantineFile('C:\Users\123\AppData\Roaming\A1FCAEC1-1425495795-5479-A465-047D7B8DAF53\jnsv62D8.tmp','');
 QuarantineFile('C:\Users\123\AppData\Local\A1FCAEC1-1425505262-5479-A465-047D7B8DAF53\inse7D8D.tmp','');
 DeleteService('gomegeji');
 QuarantineFile('C:\Windows\system32\BDL.dll','');
 DeleteFile('C:\Users\123\AppData\Local\A1FCAEC1-1425505262-5479-A465-047D7B8DAF53\inse7D8D.tmp','32');
 DeleteFile('C:\Users\123\AppData\Roaming\A1FCAEC1-1425495795-5479-A465-047D7B8DAF53\jnsv62D8.tmp','32');
 DeleteFile('C:\Users\123\AppData\Local\A1FCAEC1-1425504536-5479-A465-047D7B8DAF53\cnsf52C7.tmp','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\IQIYI Video\LStyle\winio.sys','32');
 DeleteFile('C:\Program Files (x86)\Application Assistance\AppHelper.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppHelper','command');
 DeleteFile('C:\Users\123\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
 DeleteFile('C:\Users\123\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-10.exe','32');
 DeleteFile('C:\Windows\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-10_user.job','64');
 DeleteFile('C:\Windows\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-5_user.job','64');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-5.exe','32');
 DeleteFile('C:\Users\123\AppData\Roaming\HPCWIQ.exe','32');
 DeleteFile('C:\Windows\Tasks\HPCWIQ.job','64');
 DeleteFile('C:\Windows\Tasks\PWWQKP.job','64');
 DeleteFile('C:\Users\123\AppData\Roaming\PWWQKP.exe','32');
 DeleteFile('C:\Users\123\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

Сделайте лог Check Browsers' LNK

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**kampot** · 10.03.2015, 00:35

сделано

**thyrex** · 10.03.2015, 23:29

Расширение Adblock какой версии установлено браузерах?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
HKLM-x32\...\Run: [gmsd_re_138] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1425568974&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1425568974&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&ts=1425569005&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&ts=1425569005&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1425568974&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&ts=1425569005&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&ts=1425569005&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-461104433-2797597209-3863215309-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX&ts=1425569005&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX
FF Plugin: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin HKU\S-1-5-21-461104433-2797597209-3863215309-1000: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Extension: Emoticons+ v13.8.4 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\1p9ynn8l.default\Extensions\[email protected] [2013-08-03]
CHR StartupUrls: Default -> "hxxp://vk.com/", "hxxp://www.youtube.com/", "hxxp://sprashivai.ru/novosyolova_nastya", "hxxp://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0", "hxxp://www.kinopoisk.ru/", "hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN", "hxxp://www.mystartsearch.com/?type=hp&ts=1425568926&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX", "hxxp://www.mystartsearch.com/?type=hppp&ts=1425568974&from=ima&uid=HITACHIXHTS545050A7E380_TE95113RG6V88PG6V88PX"
CHR HKU\S-1-5-21-461104433-2797597209-3863215309-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\123\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gemknmiehkmnakiphcgjifdfjgnpabeh] - {localappdata}\Google\Chrome\Application\Plugins\gemknmiehkmnakiphcgjifdfjgnpabeh_0.0.2.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - No Path Or update_url value
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [lmicjbmidollmgbnjfecbdakfocmpoie] - {localappdata}\Google\Chrome\Application\Plugins\lmicjbmidollmgbnjfecbdakfocmpoie_0.0.3.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
2015-03-05 17:25 - 2015-03-09 23:02 - 00000000 ____D () C:\Program Files (x86)\GoHDV05.03
2015-03-05 17:25 - 2015-03-05 17:26 - 00000000 ____D () C:\Program Files (x86)\baae364b-8a13-4c39-bb77-666ad3e3256b
2015-03-05 17:25 - 2015-03-05 17:25 - 00000000 ____D () C:\Users\123\AppData\Local\globalUpdate
2015-03-05 17:25 - 2015-03-05 17:25 - 00000000 ____D () C:\Program Files (x86)\globalUpdate
2015-03-05 17:23 - 2015-03-07 21:36 - 00000000 ____D () C:\Program Files (x86)\XTab
2015-03-05 17:23 - 2015-03-07 20:58 - 00000000 ____D () C:\Users\123\AppData\Roaming\systweak
2015-03-05 17:23 - 2015-03-05 17:23 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-03-05 17:23 - 2015-03-05 17:23 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-03-05 17:22 - 2015-03-07 22:45 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect
2015-03-05 17:22 - 2015-03-07 22:45 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-03-04 23:45 - 2015-03-04 23:45 - 00628504 _____ (CMI Limited) C:\Users\123\AppData\Local\nspAC22.tmp
2015-03-04 23:45 - 2015-03-04 23:45 - 00000000 __SHD () C:\Users\123\AppData\Roaming\AnyProtectEx
2015-03-04 21:42 - 2015-03-07 21:06 - 00008504 _____ () C:\Windows\SysWOW64\BasementDusterOff.ini
2015-03-04 21:42 - 2015-03-07 21:06 - 00008504 _____ () C:\Windows\system32\BasementDusterOff.ini
2015-03-04 21:29 - 2015-03-07 21:08 - 00000000 ____D () C:\Users\123\AppData\Local\A1FCAEC1-1425504554-5479-A465-047D7B8DAF53
2015-03-04 21:28 - 2015-03-07 21:09 - 00000000 ____D () C:\Users\123\AppData\Local\A1FCAEC1-1425504536-5479-A465-047D7B8DAF53
2015-03-04 21:07 - 2015-03-04 21:07 - 00000000 ____D () C:\Users\Все пользователи\TXQMPC
2015-03-04 21:07 - 2015-03-04 21:07 - 00000000 ____D () C:\ProgramData\TXQMPC
2015-03-04 21:03 - 2015-03-07 21:47 - 00000000 ____D () C:\Users\123\AppData\Roaming\A1FCAEC1-1425495795-5479-A465-047D7B8DAF53
2015-03-04 20:59 - 2015-03-04 20:59 - 00000000 ____D () C:\Qiyi
2015-03-04 20:52 - 2015-03-04 21:10 - 00000000 ____D () C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-03-04 20:52 - 2015-03-04 20:52 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-03-04 20:52 - 2015-03-04 20:52 - 00000000 ____D () C:\Users\123\AppData\Roaming\ppslog
2015-03-04 20:52 - 2015-03-04 20:52 - 00000000 ____D () C:\Program Files\Common Files\Tencent
2015-03-04 20:51 - 2015-03-04 21:07 - 00000000 ____D () C:\Users\Все пользователи\Tencent
2015-03-04 20:51 - 2015-03-04 21:07 - 00000000 ____D () C:\ProgramData\Tencent
2015-03-04 20:51 - 2015-03-04 20:52 - 00000000 ____D () C:\Users\123\AppData\Roaming\Tencent
2015-03-04 20:51 - 2015-03-04 20:51 - 00000000 ____D () C:\Program Files (x86)\Tencent
2015-03-04 20:46 - 2015-03-04 21:09 - 00000000 ____D () C:\ppsfile
2015-03-04 20:46 - 2015-03-04 20:59 - 00000000 ____D () C:\Users\123\AppData\Roaming\IQIYI Video
2015-03-04 20:46 - 2015-03-04 20:46 - 00000000 ____D () C:\Users\Public\QiYi
2015-03-04 20:44 - 2015-03-09 23:02 - 00000000 ____D () C:\Program Files (x86)\Application Assistance
2015-03-04 20:43 - 2015-03-09 23:02 - 00000000 ____D () C:\Users\123\AppData\Roaming\Browsers
2015-01-25 18:12 - 2015-01-25 18:12 - 0001248 _____ () C:\Users\123\AppData\Roaming\HPCWIQ
2015-01-25 18:12 - 2015-01-25 18:12 - 0002086 _____ () C:\Users\123\AppData\Roaming\PWWQKP
2013-08-03 23:15 - 2013-08-03 23:16 - 0000006 _____ () C:\Users\123\AppData\Roaming\smw_inst
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**kampot** · 12.03.2015, 01:10

Adblock Pro 3.1

**CyberHelper** · 12.03.2015, 01:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Торможение, вирусы и не понятные процессы (заявка № 179171)

Опции темы

Торможение, вирусы и не понятные процессы

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Подозрения на вирусы,не понятные программы в диспетчере при запуске

не понятные процессы в системе+ крах системы при запуске AVZ

Непонятные процессы devldr32.exe.Вирусы

Не понятные процессы

Появились лишние процессы.ВИРУСЫ???

Ваши права в разделе