подозрение на вирусную активность вируса. Программы самопроизвольно устанавливались и на столах появлялись их ярлыки (после установки браузера опера) вот файлы
подозрение на вирусную активность вируса. Программы самопроизвольно устанавливались и на столах появлялись их ярлыки (после установки браузера опера) вот файлы
Последний раз редактировалось mrak74; 25.08.2015 в 15:17.
Уважаемый(ая) tehnik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уведомление
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43
Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделаны новые логи после обновления баз AVZ
Удалите CiPlus-4.5vV23.07, Crossbrowse через установку прогамм в панели управления
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DelBHO('{6302DA44-093B-4153-9D0E-22129D91F801}'); StopService('comyninu'); StopService('hyverumu'); StopService('pebocimi'); QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\hnsvD650.tmp',''); QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp',''); QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe',''); QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe',''); QuarantineFileF('C:\ProgramData\WindowsMangerProtect', '*', false,'', 0, 0); QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe',''); DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp','32'); DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe','32'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe','32'); DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe','32'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6','64'); DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64'); DeleteFileMask('C:\ProgramData\WindowsMangerProtect', '*', true, ' '); DeleteDirectory('C:\ProgramData\WindowsMangerProtect'); DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Browsers', '*', true, ' '); DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Browsers'); DeleteFileMask('C:\Users\Пользователь\appdata\local\smartweb', '*', true, ' '); DeleteDirectory('C:\Users\Пользователь\appdata\local\smartweb'); DeleteFileMask('C:\Users\Пользователь\AppData\Local\Kometa', '*', true, ' '); DeleteDirectory('C:\Users\Пользователь\AppData\Local\Kometa'); DeleteFileMask('C:\Program Files (x86)\WordSurfer_1.10.0.19', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\WordSurfer_1.10.0.19'); DeleteFileMask('C:\Program Files (x86)\Crossbrowse\Crossbrowse', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\Crossbrowse\Crossbrowse'); DeleteFileMask('C:\Program Files (x86)\CiPlus-4.5vV23.07', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\CiPlus-4.5vV23.07'); DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\AnyProtectEx'); DeleteFileMask('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10_user.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5_user.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.job','64'); DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64'); DeleteFile('C:\Windows\Tasks\qGzj0G7OtrUE1r.job','64'); DeleteService('comyninu'); DeleteService('hyverumu'); DeleteService('pebocimi'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_1BB8204478EB23873EB78136BAE51D79'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
Последний раз редактировалось mike 1; 28.07.2015 в 21:42. Причина: Вопросы в скрипте
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вложение 582951Вложение 582952файлы по запросу
1. Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Результат загрузки
Файл сохранён как 150814_160124_quarantine_55cdd8948cfd7.zip
Размер файла 3637359
MD5 448b9d2c5e4c4873b2a4cc21e93dd0e4
2.- Подготовьте лог AdwCleaner и приложите его в теме.
Прикреплён файл
3. - Сделайте лог и приложите его в теме.
Прикреплён файл
4. - логи AVZ повторить ?
Последний раз редактировалось mrak74; 26.08.2015 в 09:44. Причина: дополнение повтор логов
Обновленные файлы и логи.
1. Как убрать (удалить) с автозагрузки амиго,
VKontakteDJ.exe /H
\amigo.exe --no-startup-window
\Mail.Ru\MailRuUpdater.exe
2. Вызывает подозрение
HKCU\..\Run: [CNAP2 Launcher] C:\Windows\system32\spool\DRIVERS\x64\3\CNAP2LAK.E XE
3. Проблема захода на некоторые сайты к примеру https://www.wikipedia.org/ (как с буквой S так и без нее), сайт mail.ru заходит а в категорию ответы -> https://otvet.mail.ru/ так же не заходит открывается чистая страница с ошибкой страница не найдена и еще на некоторые сайты.
Последний раз редактировалось mrak74; 26.08.2015 в 09:45.
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Отметьте и удалите в AdwCleaner все найденные записи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал новые логи AdwCleaner и hijackthis.log? логи в авз не могу сделать зависает, прикладываю скрин на каком месте. пробовали 4 раза.
после того как отметили и удалили в AdwCleaner все найденные записи компьютер перегрузился и выдал отчет AdwCleaner[C1] прикреплен.
Но все ровно пока открывает рекламу.
Судя по скриншоту, Вы выполняете 3 стандартный скрипт "Скрипт лечения/карантина и сбора информации", да еще и выбрали все пункты в "Области поиска". Выполните 2 стандартный скрипт "Скрипт сбора информации для раздела "Помогите" virusinfo.info". В области поиска самостоятельно галочки не устанавливайте. Ждем результатов попытки сделать новый лог AVZ.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
mrak74 можно ли как то в АВЗ сделать скрипт или выполнить действие что бы он файл собрал в карантин, что бы подкрепить вверху темы "Прислать запрошенный карантин" вот название файла SMART_IO.CRD расположен на съемном диске F:\, его удаляешь, через время он снова оказывается там именно на этом флеш накопителе, при вставление других такого нету.
P.S при выполнение скрипта галочка с диска C слетает,
сейчас ссылки на сайты стали открывается интересно в чем была причина.
Но реклама пока появляется.
просьба удалить некоторые файлы, места почти не осталось места для подкрепления новых, все в этой теме. не тот файл еще удалю вдруг.
Последний раз редактировалось tehnik; 25.08.2015 в 15:06. Причина: обновление сообщения
Карантин у Вас просили всего один раз и Вы его успешно прислали. Больше не надо, без дополнительного запроса.
Можете самостоятельно проверить этот файл на https://www.virustotal.com/, думаю что он не представляет угрозы.
В последнем логе AVZ порядок. Что с проблемой ?
- - - - -Добавлено - - - - -
очистите кэш и cookies-файлы браузеров
Удалил вложения из первого поста. Что с проблемой после очистки кэш и cookies-файлы браузеров ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Не хватает 195 кб свободного места.
Выложите на http://rghost.ru/, ссылку с результатом загрузки опубликуйте в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
http://rghost.ru/8chLGTMkv
c 5 раза загрузил, в черный список файл отправлял
Последний раз редактировалось tehnik; 26.08.2015 в 11:04.
Выполните скрипт в uVS Как выполнить скрипт в uVS
Проверьте работу браузеров.Код:;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\32.0.1725.115\DELEGATE_EXECUTE.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\KOMETA\APPLICATION\43.0.2357.130\DELEGATE_EXECUTE.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\43.0.2357.132\RESOURCES\GOOGLE_NOW\GOOGLE NOW deltmp delnfr restart
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Все ровно всплывает реклама хотя писал что то удаляет при нажатии выполнить скрипт. папки ZOO не было.
повторно логи AVZ делать?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Уважаемый(ая) tehnik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.