Помогите вылечить ноут. Самопроизвольно запускаются вкладки в браузерах. Иногда пытается установиться ПО.
Помогите вылечить ноут. Самопроизвольно запускаются вкладки в браузерах. Иногда пытается установиться ПО.
Уважаемый(ая) Дмитрий Гут, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text= O4 - HKLM\..\Run: [SmartWeb] C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe O4 - HKLM\..\Run: [gmsd_ru_005010089] "C:\Program Files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe" O4 - HKLM\..\RunOnce: [upgmsd_ru_005010089.exe] C:\Users\User\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe -runonce
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\programdata\dwdsmanprod\wdsmanpro.exe'); TerminateProcessByName('c:\users\user\appdata\local\gmsd_ru_005010089\upgmsd_ru_005010089.exe'); TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe'); TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe'); TerminateProcessByName('c:\program files (x86)\4ec41f29-1441730264-11e3-be3a-28d244677a67\knsca697.tmp'); TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe'); StopService('WdsManPro'); StopService('myzeduko'); QuarantineFile('C:\Users\User\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\User\AppData\Local\PriceFountain\pricefountain.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\oTTTX0u0kC9.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\5la0KgOwmuE7dh8dD.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk',''); QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.bat',''); QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\UvHDN\3juP.exe',''); QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys',''); QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\swhk.dll',''); QuarantineFile('c:\programdata\dwdsmanprod\wdsmanpro.exe',''); QuarantineFile('c:\users\user\appdata\local\smartweb\smartwebhelper.exe',''); QuarantineFile('c:\users\user\appdata\local\smartweb\smartwebapp.exe',''); QuarantineFile('c:\program files (x86)\4ec41f29-1441730264-11e3-be3a-28d244677a67\knsca697.tmp',''); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk'); DeleteFile('C:\Program Files (x86)\4EC41F29-1441730264-11E3-BE3A-28D244677A67\knscA697.tmp','32'); DeleteFile('C:\ProgramData\DWdsManProD\WdsManPro.exe','32'); DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32'); DeleteFile('C:\Program Files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe','32'); DeleteFile('C:\Users\User\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\UvHDN\3juP.exe','32'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\fSkfq\u2JE.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\w9f68\urMw.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.bat','32'); DeleteFile('C:\Users\User\AppData\Roaming\5la0KgOwmuE7dh8dD.exe','32'); DeleteFile('C:\Windows\Tasks\5la0KgOwmuE7dh8dD.job','32'); DeleteFile('C:\Windows\Tasks\oTTTX0u0kC9.job','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\User\AppData\Local\PriceFountain\pricefountain.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PFExe','64'); DeleteFile('C:\Users\User\appdata\local\smartweb\smartwebapp.exe','32'); DeleteFile('C:\Users\User\appdata\local\smartweb\smartwebhelper.exe','32'); DeleteFile('C:\Users\User\appdata\local\smartweb\swhk.dll','32'); DeleteFile('C:\Users\User\appdata\local\smartweb\__u.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010089'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010089.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3ux','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_9BAB471B03D368FCB9DADC4CBCF42FCC','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_6632489EDE512831E64C7AB45B89EBC1','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uJw','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uMm','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); DeleteService('wsafd_1_10_0_19'); DeleteService('WdsManPro'); DeleteService('myzeduko'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
карантин отправил. скрипты сделал
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
файл
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
После последнего отчета, АдвКлинер больше ничего не находит.
Проблема решена ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Да, большое спасибо1!!
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe - not-a-virus:AdWare.Win32.Eorezo.afob
- c:\users\user\appdata\local\gmsd_ru_005010089\upgm sd_ru_005010089.exe - not-a-virus:AdWare.Win32.Eorezo.afob
- c:\users\user\appdata\local\smartweb\smartwebapp.e xe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
- c:\users\user\appdata\local\smartweb\smartwebhelpe r.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
- c:\users\user\appdata\local\smartweb\swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )
- c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\google chrome.lnk - HEUR:Trojan.WinLNK.StartPage.gena
Уважаемый(ая) Дмитрий Гут, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.