Устанавливается разнообразный хлам, стопарит систему, удаляет постоянно хром и ставит вместо него оперу и еще что-то. Очень мешает и бесит. Ставятся в любое время. Удалял уже несколько раз
Устанавливается разнообразный хлам, стопарит систему, удаляет постоянно хром и ставит вместо него оперу и еще что-то. Очень мешает и бесит. Ставятся в любое время. Удалял уже несколько раз
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Elnivare, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin ClearQuarantine; TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp'); TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp'); TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp'); QuarantineFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Аллах\AppData\Local\Host installer\2121303768_monster.exe',''); QuarantineFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll',''); QuarantineFile('C:\Users\Аллах\AppData\Local\vsemposkidki\stub.exe',''); QuarantineFile('C:\Users\Аллах\AppData\Local\vsemposkidki\config.json',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe',''); DeleteService('innfd_1_10_0_14'); SetServiceStart('innfd_1_10_0_14', 4); StopService('innfd_1_10_0_14'); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('EasyAntiCheat'); SetServiceStart('EasyAntiCheat', 4); StopService('EasyAntiCheat'); QuarantineFile('C:\Windows\system32\EasyAntiCheat.exe',''); DeleteService('WindowsMangerProtect'); SetServiceStart('WindowsMangerProtect', 4); StopService('WindowsMangerProtect'); QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe',''); DeleteService('vicoqudu'); SetServiceStart('vicoqudu', 4); StopService('vicoqudu'); QuarantineFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\hnsq36F9.tmp',''); DeleteService('detoviky'); SetServiceStart('detoviky', 4); StopService('detoviky'); QuarantineFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\knse7153.tmp',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); QuarantineFile('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe',''); QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp',''); QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp',''); QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp',''); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp','32'); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp','32'); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\knse7153.tmp','32'); DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\hnsq36F9.tmp','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); DeleteFile('C:\Windows\system32\EasyAntiCheat.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_CFABF3B09561A18C4B1C77AA644B683A'); DeleteFile('C:\Users\Аллах\AppData\Local\vsemposkidki\config.json','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vsemposkidki'); DeleteFile('C:\Users\Аллах\AppData\Local\vsemposkidki\stub.exe','32'); DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64'); DeleteFile('C:\Windows\Tasks\M28FPbFgxKIoIX5lrxm2lhpD.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64'); DeleteFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Аллах\AppData\Local\Host installer\2121303768_monster.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe','32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.
Сделайте лог CheckBrowserLnk
и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал логи
В указанной последовательности:
Скачайте на рабочий стол эту утилиту.
Перетащите на нее мышью лог CheckBrowserLnk.log.
Удалите все найденное в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864
На запрос перезагрузить - соглашайтесь.
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe'); TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp'); TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp'); StopService('zejytose'); StopService('BEService'); SetServiceStart('zejytose', 4); SetServiceStart('BEService', 4); DeleteService('BEService'); DeleteService('zejytose'); QuarantineFile('C:\Program Files (x86)\Common Files\BattlEye\BEService.exe',''); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp','32'); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp','32'); DeleteFile('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe','32'); DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\jnsg2117.tmp','32'); DeleteFile('C:\Program Files (x86)\Common Files\BattlEye\BEService.exe','32'); DeleteFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe','32'); ExecuteSysClean; RebootWindows(true); end.
Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
(копировать при включенной русской раскладке)
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Сделайте заново все логи, которые просил в предыдущем сообщении.
Последний раз редактировалось Nikkollo; 09.07.2015 в 21:11.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Программы опять установились
Мне нужен этот файл.Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
+
Во всех браузерах, которыми пользуетесь, посмотрите надстройки/расширения.
Если есть что-то неизвестное - отключите/удалите. И их список приложите. (например скриншоты сделайте).
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вот, в браузерах ничего лишнего. Все, что когда-то ставил
У вас SP1 для вин7 не установлен, но пока ладно, попробуем пока так..
В указанной последовательности:
Это скачайте и установите.
Перезагрузите компьютер.
Сделайте заново все логи, которые в вашем сообщении №6. (нужно сделать заново. старые постарайтесь не прикладывать)
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вот,
В указанной последовательности:
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp'); StopService('wsafd_1_10_0_19'); SetServiceStart('wsafd_1_10_0_19', 4); DeleteFile('c:\users\6057~1\appdata\local\temp\rar$exa0.515\check browsers lnk.exe','32'); DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp','32'); DeleteFile('C:\Windows\Tasks\Adobe Flash Player Updater.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\bandicam_start','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteService('wsafd_1_10_0_19'); DeleteFileMask('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse','*', true); DeleteDirectory('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse'); DeleteFileMask('C:\Users\Аллах\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki','*', true); DeleteDirectory('C:\Users\Аллах\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki'); ExecuteSysClean; RebootWindows(true); end.
Удалите все найденное в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
Сделайте заново лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\crossbrowse\crossbrowse\application\utility. exe - not-a-virus:HEUR:AdWare.Win32.CrossRider.gen
- c:\program files (x86)\miuitab\suptab.dll - not-a-virus:AdWare.Win32.SubTab.j
- c:\programdata\windowsmangerprotect\protectwindows manager.exe - not-a-virus:AdWare.Win32.WProtManager.bj
Уважаемый(ая) Elnivare, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
