После загрузки файла с выключенным антивирусом, стали самостоятельно загружаться и устанавливаться программы. Лечение Cureit и штатным антивирусом Avira не помогли.
После загрузки файла с выключенным антивирусом, стали самостоятельно загружаться и устанавливаться программы. Лечение Cureit и штатным антивирусом Avira не помогли.
Уважаемый(ая) AlekseyGorenchuk, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\00000000-1443035533-0000-0000-50e5494209d0\knsk1733.tmp'); TerminateProcessByName('c:\users\d0b9~1\appdata\local\temp\nsmd2ad.tmp'); StopService('nygygydo'); QuarantineFileF('C:\Program Files (x86)\iWebar', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\CinemaP-1.9cV23.09', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\globalUpdate', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\ShopperPro', '*', true, '', 0 , 0); QuarantineFileF('C:\ProgramData\ShopperPro', '*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\YTDownloader', '*', true, '', 0 , 0); QuarantineFile('c:\program files (x86)\00000000-1443035533-0000-0000-50e5494209d0\knsk1733.tmp', ''); QuarantineFile('c:\users\d0b9~1\appdata\local\temp\nsmd2ad.tmp', ''); QuarantineFile('C:\Program Files (x86)\iWebar\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-6.exe', ''); QuarantineFile('C:\Program Files (x86)\iWebar\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-7.exe', ''); QuarantineFile('C:\Program Files (x86)\iWebar\0888227f-6ee8-4eb7-aaea-0d85d3070d79-5.exe', ''); QuarantineFile('C:\Program Files (x86)\iWebar\0888227f-6ee8-4eb7-aaea-0d85d3070d79-6.exe', ''); QuarantineFile('C:\Program Files (x86)\iWebar\0888227f-6ee8-4eb7-aaea-0d85d3070d79-7.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-6.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-7.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-10.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-11.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-3.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-5.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-6.exe', ''); QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-7.exe', ''); QuarantineFile('C:\Users\D0B9~1\AppData\Local\Temp\task.vbs', ''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', ''); QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe', ''); QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe', ''); QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js', ''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2540\jsdrv.exe', ''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe', ''); QuarantineFile('C:\Program Files (x86)\YTDownloader\updater.exe', ''); DeleteFile('C:\Windows\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-6.job', '32'); DeleteFile('C:\Windows\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-7.job', '32'); DeleteFile('C:\Windows\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-5.job', '32'); DeleteFile('C:\Windows\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-6.job', '32'); DeleteFile('C:\Windows\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-7.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-1-6.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-1-7.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-5.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-5_user.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-6.job', '32'); DeleteFile('C:\Windows\Tasks\4f71f9b5-ddf3-483c-9b12-b42ff3f1785b-7.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-6.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-7.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-10_user.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-11.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-3.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5_user.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-6.job', '32'); DeleteFile('C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-7.job', '32'); DeleteFile('C:\Windows\Tasks\K8f2Zm1ks8n1XUYjIaM90DodGf.job', '32'); DeleteFile('C:\Windows\Tasks\WordWizard Auto Updater 1.10.0.24 Core.job', '32'); DeleteFile('C:\Windows\system32\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-6', '64'); DeleteFile('C:\Windows\system32\Tasks\0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-7', '64'); DeleteFile('c:\program files (x86)\00000000-1443035533-0000-0000-50e5494209d0\knsk1733.tmp', '32'); DeleteFile('c:\users\d0b9~1\appdata\local\temp\nsmd2ad.tmp', '32'); DeleteFile('C:\Users\D0B9~1\AppData\Local\Temp\task.vbs', '32'); DeleteFile('C:\Users\D0B9~1\AppData\Local\Temp\amiupdater2219.exe', '32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32'); DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe', '32'); DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe', '32'); DeleteFile('C:\ProgramData\ShopperPro\spbihe.js', '32'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2540\jsdrv.exe', '32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe', '32'); DeleteFile('C:\Program Files (x86)\YTDownloader\updater.exe', '32'); DeleteService('nygygydo'); DeleteFileMask('C:\Program Files (x86)\iWebar', '*', true); DeleteFileMask('C:\Program Files (x86)\CinemaP-1.9cV23.09', '*', true); DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true); DeleteFileMask('C:\Program Files (x86)\ShopperPro', '*', true); DeleteFileMask('C:\ProgramData\ShopperPro', '*', true); DeleteFileMask('C:\Program Files (x86)\YTDownloader', '*', true); DeleteDirectory('C:\Program Files (x86)\iWebar'); DeleteDirectory('C:\Program Files (x86)\CinemaP-1.9cV23.09'); DeleteDirectory('C:\Program Files (x86)\globalUpdate'); DeleteDirectory('C:\Program Files (x86)\ShopperPro'); DeleteDirectory('C:\ProgramData\ShopperPro'); DeleteDirectory('C:\Program Files (x86)\YTDownloader'); ExecuteFile('schtasks.exe', '/delete /TN "0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "0888227f-6ee8-4eb7-aaea-0d85d3070d79-5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "0888227f-6ee8-4eb7-aaea-0d85d3070d79-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "0888227f-6ee8-4eb7-aaea-0d85d3070d79-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-1-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-1-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-11" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "951a9b41-c647-4615-bf02-94b5849a653f-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExi" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ShopperPro" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ShopperProJSUpd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SPBIW_UpdateTask_Time_3734323437383039312d5a556c6c4a5a575750414134" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SPDriver" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "YTDownloader" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "YTDownloaderUpd" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Прикрепил, отправил.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Сделал. Ссылки в браузере пропали. Антивирус тоже молчит. Похоже что все исправили, спасибо. Если что вылезет - отпишусь. Еще раз спасибо!
Для контроля сделайте такой лог.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Проверил, отправляю.
- - - - -Добавлено - - - - -
Кстати, Avira снова что-то нашла:[ОБНАРУЖЕНИЕ] Содержит сигнатуры рекламных программ ADWARE/CrossRider.1579520
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Ева\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-23] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx 2015-09-24 07:21 - 2015-09-24 07:21 - 00000292 _____ C:\task.vbs 2015-09-24 07:20 - 2015-09-24 23:39 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-09-24 07:20 - 2015-09-24 23:39 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-09-23 22:18 - 2015-09-23 22:18 - 00004696 _____ C:\Windows\SysWOW64\Ushser.ini 2015-09-23 22:18 - 2015-09-23 22:18 - 00002408 _____ C:\Windows\SysWOW64\UshserOff.ini 2015-09-23 22:18 - 2015-09-23 22:18 - 00002408 _____ C:\Windows\system32\UshserOff.ini 2015-09-23 22:18 - 2015-09-23 22:18 - 00000000 ____D C:\Windows\system32\vay 2015-09-23 22:18 - 2015-09-23 22:18 - 00000000 ____D C:\Users\Ева\AppData\Local\Tempfolder 2015-09-23 22:16 - 2015-09-23 22:16 - 00000045 _____ C:\user.js 2015-09-23 22:12 - 2015-09-23 22:13 - 00000000 ____D C:\Program Files (x86)\85bc05d8-39d4-455f-8122-e089b8bd2777 2015-09-23 22:12 - 2009-06-11 00:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-09-23 22:11 - 2015-09-23 22:13 - 00000000 ____D C:\Program Files (x86)\1abd295c-ec37-4a9f-9fc4-06cb47b4d4e2 2015-09-23 22:11 - 2015-09-23 22:11 - 00000000 ____D C:\Program Files (x86)\c9544eff-ff18-47e3-a5a5-4b50beeb6af5 2015-09-23 22:10 - 2015-09-23 22:10 - 00000000 ____D C:\Users\Ева\AppData\Local\CrashRpt 2015-09-23 22:09 - 2015-09-23 22:09 - 00000000 ____D C:\Program Files (x86)\mbot_ru_014010091 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Ева\AppData\Roaming\K8f2Zm1ks8n1XUYjIaM90DodGf 2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\Ева\AppData\Roaming\K8f2Zm1ks8n1XUYjIaM90DodGf.exe 2015-09-24 07:20 - 2015-09-24 23:39 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat Task: {AD234699-BA0B-4620-9E58-444177DDB6AE} - \0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-6 -> No File <==== ATTENTION Task: {C9550769-F13C-4091-8FA6-9831589B004C} - \0888227f-6ee8-4eb7-aaea-0d85d3070d79-1-7 -> No File <==== ATTENTION EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово.
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\users\d0b9~1\appdata\local\temp\nsmd2ad.tmp - not-a-virus:AdWare.NSIS.Agent.gp ( DrWEB: Trojan.DownLoader12.51329 )
- c:\users\d0b9~1\appdata\local\temp\task.vbs - Trojan-Downloader.VBS.Adload.a
Уважаемый(ая) AlekseyGorenchuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.