Неизвестные программы мешают работе компьютера [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Eorezo.mjk
]
Здравствуйте!
Непонятным образом на компьютер загрузились вредоносные программы (точно знаю, что одна из них - AnyProtect), которые постоянно уведомляют о своих обновлениях, ухудшают скорость работы браузеров, добавляют собственные левые расширения, а также автоматически загружают ещё целый букет неизвестных объектов. Пожалуйста, помогите.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Анастасия Базарнова, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-7.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-6.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-4.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-3.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-11.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-10.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-7.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-6.exe',''); QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); QuarantineFile('C:\Windows\system32\drivers\gaonhtlq.sys',''); DeleteService('qrnfd_1_10_0_9'); DeleteService('innfd_1_10_0_14'); DeleteService('gaonhtlq'); SetServiceStart('skinapp', 4); DeleteService('skinapp'); SetServiceStart('sehobilu', 4); DeleteService('sehobilu'); SetServiceStart('mifehysy', 4); DeleteService('mifehysy'); QuarantineFile('C:\Windows\skinapp.sys',''); QuarantineFile('C:\Users\Администратор\AppData\Local\SmartWeb\swhk.dll',''); TerminateProcessByName('c:\users\Администратор\appdata\local\gmsd_ru_258\upgmsd_ru_258.exe'); QuarantineFile('c:\users\Администратор\appdata\local\gmsd_ru_258\upgmsd_ru_258.exe',''); TerminateProcessByName('c:\users\Администратор\appdata\local\smartweb\smartwebhelper.exe'); TerminateProcessByName('c:\users\Администратор\appdata\local\smartweb\smartwebapp.exe'); QuarantineFile('c:\users\Администратор\appdata\local\smartweb\smartwebhelper.exe',''); QuarantineFile('c:\users\Администратор\appdata\local\smartweb\smartwebapp.exe',''); TerminateProcessByName('c:\users\Администратор\appdata\local\skinapp\skinapp.exe'); QuarantineFile('c:\users\Администратор\appdata\local\skinapp\skinapp.exe',''); TerminateProcessByName('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\nsp5cea.tmpfs'); QuarantineFile('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\nsp5cea.tmpfs',''); TerminateProcessByName('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\jnsw9333.tmp'); QuarantineFile('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\jnsw9333.tmp',''); TerminateProcessByName('c:\program files\gmsd_ru_258\gmsd_ru_258.exe'); QuarantineFile('c:\program files\gmsd_ru_258\gmsd_ru_258.exe',''); TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe'); QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe',''); DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32'); DeleteFile('c:\program files\gmsd_ru_258\gmsd_ru_258.exe','32'); DeleteFile('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\jnsw9333.tmp','32'); DeleteFile('c:\users\Администратор\appdata\roaming\03000200-1424949955-0500-0006-000700080009\nsp5cea.tmpfs','32'); DeleteFile('c:\users\Администратор\appdata\local\skinapp\skinapp.exe','32'); DeleteFile('c:\users\Администратор\appdata\local\smartweb\smartwebapp.exe','32'); DeleteFile('c:\users\Администратор\appdata\local\smartweb\smartwebhelper.exe','32'); DeleteFile('c:\users\Администратор\appdata\local\gmsd_ru_258\upgmsd_ru_258.exe','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\D3DCompiler_46.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32'); DeleteFile('C:\Users\Администратор\AppData\Local\SmartWeb\swhk.dll','32'); DeleteFile('C:\Windows\skinapp.sys','32'); DeleteFile('C:\Windows\system32\drivers\gaonhtlq.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_2E97E79495C2EE918393804007FA94E4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_258'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_258.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\4qDuiKR1DP.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-6.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-7.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-10_user.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-11.job','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-7.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-10.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-11.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-3.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-4.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-6.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-7.exe','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-6.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5_user.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-4.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-3.job','32'); DeleteFile('C:\Windows\Tasks\D79SK7RVdfPHZw2ucx5X4h.job','32'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32'); DeleteFile('C:\Windows\Tasks\COHAJNS.job','32'); DeleteFile('C:\Windows\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-7.job','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32'); DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\TQYAQVR.job','32'); DeleteFile('C:\Windows\Tasks\Xz35fnrld.job','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-11','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-3','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-4','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-6','32'); DeleteFile('C:\Windows\system32\Tasks\c4b7f8cb-088c-45d5-96b1-077f7baabec4-7','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\toolbar.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1741876474-2681151535-4066766444-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\...\Run: [gmsd_ru_143] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424932633&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424932633&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} HKU\S-1-5-21-1741876474-2681151535-4066766444-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX HKU\S-1-5-21-1741876474-2681151535-4066766444-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} HKU\S-1-5-21-1741876474-2681151535-4066766444-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX HKU\S-1-5-21-1741876474-2681151535-4066766444-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424932633&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424932633&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1424932200&from=sky&uid=TOSHIBAXDT01ACA050_74188KDGSXX74188KDGSX FF DefaultSearchEngine: mystartsearch FF Extension: CinemaPlus-4.5vV24.05 - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\n4eja0mp.default\Extensions\[email protected] [2015-05-25] OPR Extension: (CinemaPlus-4.5vV24.05) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-05-25] 2015-06-01 20:10 - 2015-06-01 20:11 - 00000000 ____D () C:\Program Files\SuperClick_1.10.0.16 2015-05-31 17:47 - 2015-05-31 17:47 - 00001003 _____ () C:\Users\Администратор\Desktop\AnyProtect.lnk 2015-05-31 17:47 - 2015-05-31 17:47 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup 2015-05-31 17:46 - 2015-05-31 17:46 - 00613255 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nslE2A0.tmp 2015-05-31 17:41 - 2015-06-01 20:13 - 00000000 ____D () C:\Users\Администратор\AppData\Local\gmsd_ru_258 2015-05-31 17:41 - 2015-06-01 20:13 - 00000000 ____D () C:\Program Files\gmsd_ru_258 2015-05-31 17:40 - 2015-06-01 20:13 - 00000000 ____D () C:\Users\Администратор\AppData\Local\skinapp 2015-05-31 17:40 - 2015-05-31 17:40 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp 2015-05-31 17:40 - 2015-05-31 17:40 - 00000000 _____ () C:\Windows\system32\Number of results 2015-05-25 15:00 - 2015-06-01 20:13 - 00000000 ____D () C:\Program Files\CinemaPlus-4.5vV24.05 2015-05-25 15:00 - 2015-05-25 15:00 - 00000000 ____D () C:\Program Files\7116e374-e854-4042-b147-5c900a5661d9 2015-05-25 14:59 - 2015-05-25 14:59 - 00002336 _____ () C:\Users\Public\Desktop\Crossbrowse.lnk 2015-05-25 14:59 - 2015-05-25 14:59 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse 2015-05-25 14:45 - 2015-06-01 20:13 - 00000000 ____D () C:\Program Files\AnyProtectEx 2015-05-25 14:45 - 2015-05-25 14:45 - 00613255 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nsyA9C9.tmp 2015-05-25 14:44 - 2015-05-31 17:44 - 00000000 ____D () C:\Program Files\Edu App 2015-05-25 14:43 - 2015-05-25 15:00 - 00000000 ____D () C:\Program Files\globalUpdate 2015-05-25 14:42 - 2015-05-25 14:42 - 00000000 ____D () C:\Users\Администратор\AppData\Local\Crossbrowse 2015-05-25 14:41 - 2015-05-25 14:41 - 00000000 ____D () C:\Program Files\Crossbrowse 2015-05-14 00:07 - 2015-05-14 00:07 - 00052736 _____ (SuperClick) C:\Windows\system32\Drivers\scfd_1_10_0_16.sys R2 scsvc_1.10.0.16; C:\Program Files\SuperClick_1.10.0.16\Service\scsvc.exe [278616 2015-05-14] (SuperClick) R1 scfd_1_10_0_16; C:\Windows\System32\drivers\scfd_1_10_0_16.sys [52736 2015-05-14] (SuperClick) 2015-04-14 21:28 - 2015-04-14 21:28 - 0004387 _____ () C:\Users\Администратор\AppData\Roaming\4qDuiKR1DP 2015-04-20 19:05 - 2015-04-20 19:05 - 1246720 _____ () C:\Users\Администратор\AppData\Roaming\4qDuiKR1DP.exe 2015-01-25 21:12 - 2015-01-25 21:12 - 0001248 _____ () C:\Users\Администратор\AppData\Roaming\COHAJNS 2015-02-26 11:35 - 2015-02-26 11:35 - 1827792 _____ (Cinema ProV26.02) C:\Users\Администратор\AppData\Roaming\COHAJNS.exe 2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\Администратор\AppData\Roaming\D79SK7RVdfPHZw2ucx5X4h 2015-04-20 19:05 - 2015-04-20 19:05 - 1579520 _____ () C:\Users\Администратор\AppData\Roaming\D79SK7RVdfPHZw2ucx5X4h.exe 2015-02-26 11:34 - 2015-02-26 11:34 - 0000001 _____ () C:\Users\Администратор\AppData\Roaming\smw_inst 2015-01-25 21:12 - 2015-01-25 21:12 - 0002086 _____ () C:\Users\Администратор\AppData\Roaming\TQYAQVR 2015-02-26 11:36 - 2015-02-26 11:36 - 1503696 _____ (Cinema ProV26.02) C:\Users\Администратор\AppData\Roaming\TQYAQVR.exe 2015-04-14 21:28 - 2015-04-14 21:28 - 0004387 _____ () C:\Users\Администратор\AppData\Roaming\Xz35fnrld 2015-04-20 19:05 - 2015-04-20 19:05 - 1246720 _____ () C:\Users\Администратор\AppData\Roaming\Xz35fnrld.exe 2015-02-26 11:40 - 2015-02-26 11:40 - 0613057 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nsjA727.tmp 2015-05-31 17:46 - 2015-05-31 17:46 - 0613255 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nslE2A0.tmp 2015-02-26 11:52 - 2015-02-26 11:52 - 0613057 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nsmBA11.tmp 2015-05-25 14:45 - 2015-05-25 14:45 - 0613255 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nsyA9C9.tmp 2014-11-23 19:20 - 2014-11-23 19:20 - 0005098 _____ () C:\ProgramData\vczcspay.tpu C:\Users\Администратор\AppData\Local\Temp\Runner2.exe C:\Users\Администратор\AppData\Local\Temp\Runner4.exe C:\Users\Администратор\AppData\Local\Temp\sdf93A3.exe FirewallRules: [{2CF058B9-0515-4B61-B2A4-4D52508EDFF5}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe FirewallRules: [{D2BAD8FC-EAF8-4D3B-96C4-01D7145DC1C7}] => (Allow) C:\Users\Администратор\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{75969EFA-9A2D-4953-BB9E-EBF68C99F10F}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{E9285E65-9BF9-4BFB-A50D-86A9F0BC036F}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{585F7DF6-BADE-4408-BE0A-1DE55F49E4EB}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe FirewallRules: [{12C9CBDB-54AA-4E6B-A91A-CCC6744543D3}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [TCP Query User{614A9062-D52E-466C-BD5B-761E15EB56B3}D:\iqiyi video\common\qykernel.exe] => (Block) D:\iqiyi video\common\qykernel.exe FirewallRules: [UDP Query User{9B542CDF-BE96-4A2B-ADC6-68A7FDCEE3CB}D:\iqiyi video\common\qykernel.exe] => (Block) D:\iqiyi video\common\qykernel.exe FirewallRules: [{6DB2A211-C8FE-4B73-8856-D000B5ECFDCD}] => (Allow) C:\Users\Администратор\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{8A0AE2B3-A2AD-4493-9AD7-C672A7BCD0CE}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{46501BB8-D5D5-4174-A89E-C55445B5538F}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{F89AD0E6-4678-4F6D-BD3D-BBCD300F7C68}] => (Allow) D:\IQIYI Video\LStyle\GeePlayer.exe FirewallRules: [{37088F4F-5E03-4E69-A981-804545229F96}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe FirewallRules: [{A69D010C-3506-484B-95C7-F3F1691965E8}] => (Allow) D:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{71F4E9EA-BD4B-455C-B779-63715150BAB4}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [TCP Query User{29822753-525F-499F-927B-6175E2264DD2}D:\iqiyi video\lstyle\mobprotect.exe] => (Block) D:\iqiyi video\lstyle\mobprotect.exe FirewallRules: [UDP Query User{2D4D8F26-F353-4A79-952B-01476715899E}D:\iqiyi video\lstyle\mobprotect.exe] => (Block) D:\iqiyi video\lstyle\mobprotect.exe FirewallRules: [TCP Query User{1BE67E1B-FBF7-4552-9C52-625B07E9CE0C}C:\users\администратор\appdata\local\winnerdm\wdm.bin] => (Block) C:\users\администратор\appdata\local\winnerdm\wdm.bin FirewallRules: [UDP Query User{21ED4035-D37D-4C43-8386-06B8C24D3BF8}C:\users\администратор\appdata\local\winnerdm\wdm.bin] => (Block) C:\users\администратор\appdata\local\winnerdm\wdm.bin Task: {F3411435-1648-4D4C-9FB7-0DAAC38EB9DF} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File <==== ATTENTION Task: {E6C6150A-CFB4-4284-9628-39511636698C} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Task: {C15FBFC1-DF6A-4329-BF0C-D9B702ABD777} - \SystemScript No Task File <==== ATTENTION Task: {8C4FE86F-1D82-4F36-BF1F-A8DC88AA74A4} - \chrome5 No Task File <==== ATTENTION Task: {0A08256E-41F2-4B12-9C2C-5390F0533CEE} - \Crossbrowse No Task File <==== ATTENTION Task: {13CAAF86-B9C6-4F7F-928A-373D017DB904} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File <==== ATTENTION Task: {2E74D14E-278B-4B84-94C0-91298C79113E} - \chrome5_logon No Task File <==== ATTENTION Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Расширения удалены и больше не появляются, программы, кажется, тоже. Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 69
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-10.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.Bv1@kOBlEqaO )
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-1-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.gv1@kqLuVsiO )
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-3.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.Bv1@kOBlEqaO )
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-4.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.tv1@k4yHGRcO )
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.kv1@kOphvBdO )
- c:\program files\cinemaplus-4.5vv24.05\c4b7f8cb-088c-45d5-96b1-077f7baabec4-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.gv1@kqLuVsiO )
- c:\program files\gmsd_ru_258\gmsd_ru_258.exe - not-a-virus:AdWare.Win32.Eorezo.mjk ( BitDefender: Adware.Eorezo.BZ )
- c:\users\администратор\appdata\local\gmsd_ru_258\u pgmsd_ru_258.exe - not-a-virus:AdWare.Win32.Eorezo.fkz ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )
- c:\users\администратор\appdata\local\smartweb\smar twebapp.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
- c:\users\администратор\appdata\local\smartweb\smar twebhelper.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
- c:\users\администратор\appdata\local\smartweb\swhk .dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
Уважаемый(ая) Анастасия Базарнова, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
