Добрый день. Помогите с проблемой. На компьютере происходит чёрт знает что. ровно 1 сентября началось. Открываются сотни вкладок браузера. AnyProtect и прочую фигню удалить не могу. Она после перезагрузки сразу на месте.
Добрый день. Помогите с проблемой. На компьютере происходит чёрт знает что. ровно 1 сентября началось. Открываются сотни вкладок браузера. AnyProtect и прочую фигню удалить не могу. Она после перезагрузки сразу на месте.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) НикМастер, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\cpuminer\ethminer\start.cmd',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat',''); SetServiceStart('wsafd_1_10_0_19', 4); DeleteService('wsafd_1_10_0_19'); DeleteService('SSFK'); QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe',''); SetServiceStart('wsasvc_1.10.0.19', 4); DeleteService('wsasvc_1.10.0.19'); SetServiceStart('nylebowo', 4); DeleteService('nylebowo'); QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys',''); TerminateProcessByName('c:\program files (x86)\212c6340-1441013126-11dd-8bda-50465d52887e\knsk8e15.tmp'); TerminateProcessByName('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe'); QuarantineFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe',''); QuarantineFile('c:\program files (x86)\212c6340-1441013126-11dd-8bda-50465d52887e\knsk8e15.tmp',''); DeleteFile('c:\program files (x86)\212c6340-1441013126-11dd-8bda-50465d52887e\knsk8e15.tmp','32'); DeleteFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe','32'); DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32'); DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe','32'); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\cpuminer\ethminer\start.cmd','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ethminer'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64'); DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C707A74-0D44-460B-A364-E7DC56ABF0EB}','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не могу отправить один из логов виснет при загрузке. Добавил в виде архива.
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё сделано
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_ru_005010082] => C:\Program Files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe [3980432 2015-09-06] () HKLM-x32\...\RunOnce: [upgmsd_ru_005010082.exe] => C:\Users\Admin\AppData\Local\gmsd_ru_005010082\upgmsd_ru_005010082.exe [3310224 2015-09-06] () HKLM-x32\...\RunOnce: [Update] => C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe /runonce GroupPolicyScripts: Group Policy detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.mystartsearch.com/?type=hp&ts=1441035013&z=0484439ddf5aa4e7851b254g8zezegceac1zfb8b2z&from=cmi&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X","hxxp://www.mystartsearch.com/?type=hp&ts=1441185584&z=e13d4f289556dec2fb328efg5z0z2g9g9b2wbz5wce&from=cmi&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X","hxxp://www.istartsurf.com/?type=hp&ts=1441212700&z=3c1136fb64828db17c7239cg7z4z1g2obg7o3waq6z&from=face&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X","hxxp://www.istartsurf.com/?type=hp&ts=1441215385&z=3490395a994d9c3f031a6b4g1zdzbg0o0gewdodw9e&from=face&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X","hxxp://www.mystartsearch.com/?type=hp&ts=1441644949&z=82e82d5db8fd2610e9e2a22g3z2zag2q5z3zeb3e6z&from=cmi&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X" CHR DefaultSearchURL: Default -> http://www.mystartsearch.com/web/?type=ds&ts=1441644949&z=82e82d5db8fd2610e9e2a22g3z2zag2q5z3zeb3e6z&from=cmi&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X&q={searchTerms} CHR DefaultSearchKeyword: Default -> mystartsearch StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1441644949&z=82e82d5db8fd2610e9e2a22g3z2zag2q5z3zeb3e6z&from=cmi&uid=ST500DM002-1BD142_Z3TDTC3XXXXXZ3TDTC3X 2015-09-08 10:28 - 2015-09-08 10:28 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nse31DB.tmp 2015-09-07 19:56 - 2015-09-08 10:47 - 00000000 ____D C:\Users\Все пользователи\nWdsManPron 2015-09-07 19:56 - 2015-09-08 10:47 - 00000000 ____D C:\ProgramData\nWdsManPron 2015-09-07 19:56 - 2015-09-08 10:39 - 00000000 ____D C:\Users\Admin\AppData\Local\gmsd_ru_005010082 2015-09-07 19:56 - 2015-09-07 19:56 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010082 2015-09-02 20:40 - 2015-09-08 10:29 - 00001045 _____ C:\Users\Admin\Desktop\AnyProtect.lnk 2015-09-02 20:40 - 2015-09-08 10:28 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx 2015-09-02 20:40 - 2015-09-02 20:40 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsd701.tmp 2015-09-02 20:40 - 2015-09-02 20:40 - 00000000 __SHD C:\Users\Admin\AppData\Roaming\AnyProtectEx 2015-09-02 20:37 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\OWdsManProO 2015-09-02 20:37 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\OWdsManProO 2015-09-02 20:36 - 2015-09-02 20:36 - 00000000 ____D C:\Program Files (x86)\WordSurfer_1.10.0.19 2015-09-02 20:01 - 2015-09-02 20:01 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsv71B5.tmp 2015-09-02 19:52 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\2WdsManPro2 2015-09-02 19:52 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\2WdsManPro2 2015-09-02 18:09 - 2015-09-02 18:09 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsaACA2.tmp 2015-09-02 17:59 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\HWdsManProH 2015-09-02 17:59 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\HWdsManProH 2015-09-02 17:58 - 2015-09-07 14:34 - 00000000 ____D C:\Users\Admin\AppData\Local\gmsd_ru_005010078 2015-09-02 17:58 - 2015-09-02 20:36 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010078 2015-09-02 17:58 - 2015-09-02 19:51 - 00000434 _____ C:\task.vbs 2015-09-02 17:09 - 2015-09-02 17:09 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nss949D.tmp 2015-09-02 17:07 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\7WdsManPro7 2015-09-02 17:07 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\7WdsManPro7 2015-09-02 15:04 - 2015-09-02 15:04 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsi95F5.tmp 2015-09-02 14:22 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\WWdsManProW 2015-09-02 14:22 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\WWdsManProW 2015-09-02 14:21 - 2015-09-07 14:31 - 00000000 ____D C:\Users\Admin\AppData\Local\gmsd_ru_005010077 2015-09-02 14:21 - 2015-09-02 14:21 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010077 2015-09-02 12:56 - 2015-09-02 12:56 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsc942E.tmp 2015-09-02 12:19 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\eWdsManProe 2015-09-02 12:19 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\eWdsManProe 2015-08-31 18:38 - 2015-08-31 18:38 - 00613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsp7F29.tmp 2015-08-31 18:32 - 2015-08-31 18:32 - 00000000 ____D C:\ppsfile 2015-08-31 18:31 - 2015-09-08 10:57 - 00000000 ____D C:\Users\Все пользователи\gWdsManProg 2015-08-31 18:31 - 2015-09-08 10:57 - 00000000 ____D C:\ProgramData\gWdsManProg 2015-08-31 18:31 - 2015-08-31 18:31 - 00000000 ____D C:\Users\Public\QiYi 2015-08-31 18:30 - 2015-08-31 18:58 - 00000000 ____D C:\Program Files (x86)\baidu 2015-08-31 17:57 - 2015-08-31 18:58 - 00000000 ____D C:\Users\Все пользователи\4WdsManPro4 2015-08-31 17:57 - 2015-08-31 18:58 - 00000000 ____D C:\ProgramData\4WdsManPro4 2015-08-31 12:25 - 2014-07-24 11:03 - 00000864 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-08-26 12:47 - 2015-08-26 12:47 - 03688216 _____ C:\Windows\system32\cpm.exe 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Admin\AppData\Roaming\G4Ks1Dz5M0UFE97OTerx55GFL 2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\Admin\AppData\Roaming\G4Ks1Dz5M0UFE97OTerx55GFL.exe 2015-09-02 18:09 - 2015-09-02 18:09 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsaACA2.tmp 2015-09-02 12:56 - 2015-09-02 12:56 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsc942E.tmp 2015-09-02 20:40 - 2015-09-02 20:40 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsd701.tmp 2015-09-08 10:28 - 2015-09-08 10:28 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nse31DB.tmp 2015-09-02 15:04 - 2015-09-02 15:04 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsi95F5.tmp 2015-08-31 18:38 - 2015-08-31 18:38 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsp7F29.tmp 2015-09-02 17:09 - 2015-09-02 17:09 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nss949D.tmp 2015-09-02 20:01 - 2015-09-02 20:01 - 0613255 _____ (CMI Limited) C:\Users\Admin\AppData\Local\nsv71B5.tmp C:\Users\Admin\AppData\Local\Temp\fsd39A6.exe C:\Users\Admin\AppData\Local\Temp\fsd6F36.exe C:\Users\Admin\AppData\Local\Temp\fsdB367.exe C:\Users\Admin\AppData\Local\Temp\fsdC4C5.exe Task: {8819092F-EC7B-4C3F-A308-878F1B1D0DDF} - \{1C707A74-0D44-460B-A364-E7DC56ABF0EB} -> No File <==== ATTENTION Task: {9176B122-C7A5-496E-AF33-9D1486E3548C} - \WordSurfer Auto Updater 1.10.0.19 Core -> No File <==== ATTENTION Task: {F5477F32-A058-4216-8A15-514A82980BFA} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 FirewallRules: [{DFA13F97-FAF5-4C23-95EA-8C02047B696D}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe FirewallRules: [{7A703896-8086-4CC8-A694-EC7CBCACA9AF}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{1AACD878-E3AC-4FE6-A437-AFB3DF61A338}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{30F79DB6-D049-4C9B-90BE-054C4D5376F8}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{0CC89C28-EB20-425D-8561-49C3995AC9DF}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{57797FDD-625E-4F8E-9D2B-CDF3487712BA}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Огромное вам спасибо что помогаете мне.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё остается по прежнему. Спасибо вам за старание. Но систему пришлось снести.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\sfk\ssfk.exe - HEUR:Trojan.Win32.Generic
- c:\windows\system32\drivers\wsafd_1_10_0_19.sys - not-a-virus:NetTool.Win64.NetFilter.l
Уважаемый(ая) НикМастер, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
