Показано с 1 по 15 из 15.

Помогите [not-a-virus:RiskTool.Win64.BitCoinMiner.aaz ] (заявка № 192592)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31

    Помогите [not-a-virus:RiskTool.Win64.BitCoinMiner.aaz ]

    Доброго здравия. Вкратце о проблеме.

    Браузер открывается сам по себе с рекламой. Заметно сильно стало глючить.

    Открываются окна с последующей установкой (что запомнил):
    important update available
    setup - gentle

    В "программы/компоненты" появляются следующие вредоносные ПО:
    SwiftSearch
    SmartWeb

    После их частичного удаления при перезагрузке открывается cmd и что то прописывается. Не успеваю посмотреть что, закрывается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Василий Чичагов, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe');
     TerminateProcessByName('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\smartweb\smartwebhelper.exe');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\032b0290-1447180140-05d3-3706-6c0700080009\qnsh6347.tmp');
     TerminateProcessByName('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsle460.tmpfs');
     TerminateProcessByName('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\hnsl1096.tmp');
     TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe');
     StopService('globalUpdatem');
     StopService('globalUpdate');
     StopService('swsesrvc_1.10.0.25');
     StopService('jegiwymi');
     StopService('gilefywi');
     QuarantineFile('C:\Users\Ярослав\appdata\local\smartweb\__u.exe', '');
     QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '');
     QuarantineFile('C:\Users\Ярослав\AppData\Roaming\cpuminer\ethminer\start.cmd', '');
     QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '');
     QuarantineFile('C:\Users\Ярослав\AppData\Local\SmartWeb\swhk.dll', '');
     QuarantineFile('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe', '');
     QuarantineFile('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe', '');
     QuarantineFile('c:\users\Ярослав\appdata\local\smartweb\smartwebhelper.exe', '');
     QuarantineFile('c:\users\3cde~1\appdata\local\temp\is-0fjmp.tmp\setup.tmp', '');
     QuarantineFile('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe', '');
     QuarantineFile('c:\users\Ярослав\appdata\local\032b0290-1447180140-05d3-3706-6c0700080009\qnsh6347.tmp', '');
     QuarantineFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsle460.tmpfs', '');
     QuarantineFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\hnsl1096.tmp', '');
     QuarantineFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '');
     DeleteFile('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\SmartWeb\swhk.dll', '32');
     DeleteFile('C:\Program Files (x86)\032B0290-1447152032-05D3-3706-6C0700080009\hnsl1096.tmp', '32');
     DeleteFile('C:\Program Files (x86)\032B0290-1447152032-05D3-3706-6C0700080009\knslE460.tmpfs', '32');
     DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Service\swsesrvc.exe', '32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
     DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\gmsd_ru_005010142\upgmsd_ru_005010142.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Roaming\cpuminer\ethminer\start.cmd', '32');
     DeleteFile('C:\Windows\Tasks\5N8x44Anb0lmjS0L98Si5Vng.job', '32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
     DeleteFile('C:\Windows\Tasks\NVTF.job', '32');
     DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
     DeleteFile('C:\Users\Ярослав\appdata\local\smartweb\__u.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\032B0290-1447180140-05D3-3706-6C0700080009\qnsh6347.tmp', '32');
     DeleteService('swsedrvr_vt_1_10_0_25');
     DeleteService('globalUpdatem');
     DeleteService('globalUpdate');
     DeleteService('swsesrvc_1.10.0.25');
     DeleteService('jegiwymi');
     DeleteService('gilefywi');
     DeleteFileMask('C:\Users\Ярослав\AppData\Local\032B0290-1447180140-05D3-3706-6C0700080009', '*', true);
     DeleteFileMask('C:\Users\Ярослав\appdata\local\smartweb', '*', true);
     DeleteFileMask('c:\users\Ярослав\appdata\local\gmsd_ru_005010142', '*', true);
     DeleteFileMask('c:\program files (x86)\swiftsearch_1.10.0.25', '*', true);
     DeleteFileMask('c:\program files (x86)\gmsd_ru_005010142', '*', true);
     DeleteDirectory('C:\Users\Ярослав\AppData\Local\032B0290-1447180140-05D3-3706-6C0700080009');
     DeleteDirectory('C:\Users\Ярослав\appdata\local\smartweb');
     DeleteDirectory('c:\users\Ярослав\appdata\local\gmsd_ru_005010142');
     DeleteDirectory('c:\program files (x86)\swiftsearch_1.10.0.25');
     DeleteDirectory('c:\program files (x86)\gmsd_ru_005010142');
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'coupondo');
    ExecuteSysClean;
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).

    Сделайте лог Check Browsers' LNK.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','');
     QuarantineFile('C:\iexplore.bat','');
     QuarantineFile('C:\ProgramData\gtBdPhXlMECFrqF\VhGFeYemlXLr5.bat','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
     QuarantineFile('C:\ProgramData\tlyEGcve\VmhCpX0.bat','');
     QuarantineFile('C:\Users\Ярослав\AppData\Roaming\cpuminer\ethminer\start.cmd','');
     QuarantineFile('C:\Users\Ярослав\AppData\Local\coupondo\coupondo_stb.exe','');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
     SetServiceStart('swsedrvr_vt_1_10_0_25', 4);
     DeleteService('swsedrvr_vt_1_10_0_25');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
     SetServiceStart('gilefywi', 4);
     SetServiceStart('jegiwymi', 4);
     SetServiceStart('swsesrvc_1.10.0.25', 4);
     DeleteService('globalUpdatem');
     DeleteService('globalUpdate');
     DeleteService('swsesrvc_1.10.0.25');
     DeleteService('jegiwymi');
     DeleteService('gilefywi');
     QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
     QuarantineFile('C:\Users\Ярослав\AppData\Local\SmartWeb\swhk.dll','');
     TerminateProcessByName('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe');
     QuarantineFile('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe','');
     QuarantineFile('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe','');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\smartweb\smartwebhelper.exe');
     QuarantineFile('c:\users\Ярослав\appdata\local\smartweb\smartwebhelper.exe','');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe');
     QuarantineFile('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe','');
     TerminateProcessByName('c:\users\Ярослав\appdata\local\032b0290-1447180140-05d3-3706-6c0700080009\qnsh6347.tmp');
     QuarantineFile('c:\users\Ярослав\appdata\local\032b0290-1447180140-05d3-3706-6c0700080009\qnsh6347.tmp','');
     TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe');
     TerminateProcessByName('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\hnsl1096.tmp');
     TerminateProcessByName('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsle460.tmpfs');
     QuarantineFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsle460.tmpfs','');
     QuarantineFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\hnsl1096.tmp','');
     QuarantineFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe','');
     DeleteFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe','32');
     DeleteFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\hnsl1096.tmp','32');
     DeleteFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsle460.tmpfs','32');
     DeleteFile('c:\users\Ярослав\appdata\local\032b0290-1447180140-05d3-3706-6c0700080009\qnsh6347.tmp','32');
     DeleteFile('c:\users\Ярослав\appdata\local\smartweb\smartwebapp.exe','32');
     DeleteFile('c:\users\Ярослав\appdata\local\smartweb\smartwebhelper.exe','32');
     DeleteFile('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe','32');
     DeleteFile('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe','32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\SmartWeb\swhk.dll','32');
     DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010142');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010142.exe');
     DeleteFile('C:\Users\Ярослав\AppData\Local\coupondo\coupondo_stb.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','coupondo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
     DeleteFile('C:\Users\Ярослав\AppData\Roaming\cpuminer\ethminer\start.cmd','32');
     DeleteFile('C:\ProgramData\tlyEGcve\VmhCpX0.bat','32');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
     DeleteFile('C:\ProgramData\gtBdPhXlMECFrqF\VhGFeYemlXLr5.bat','32');
     DeleteFile('C:\iexplore.bat','32');
     DeleteFile('C:\Windows\Tasks\NVTF.job','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
     DeleteFile('C:\Windows\Tasks\5N8x44Anb0lmjS0L98Si5Vng.job','32');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
     DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core','64');
     DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update','64');
     DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Сделайте лог CheckBrowsers' Lnk

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. Это понравилось:


  8. #5
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31
    2thyrex
    Вложения Вложения

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     TerminateProcessByName('c:\users\Ярослав\appdata\local\032b0290-1447187359-05d3-3706-6c0700080009\qnsr8a59.tmp');
     TerminateProcessByName('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsz463e.tmp');
     SetServiceStart('higumefe', 4);
     SetServiceStart('hidekoqe', 4);
     StopService('higumefe');
     StopService('hidekoqe');
     QuarantineFile('C:\Users\Ярослав\AppData\Roaming\.cristalix\Ctfhost\ctfhost.exe', '');
     QuarantineFile('c:\users\Ярослав\appdata\local\032b0290-1447187359-05d3-3706-6c0700080009\qnsr8a59.tmp', '');
     QuarantineFile('c:\program files (x86)\032b0290-1447152032-05d3-3706-6c0700080009\knsz463e.tmp', '');
     DeleteFile('C:\Users\Ярослав\AppData\Local\032B0290-1447187359-05D3-3706-6C0700080009\qnsr8A59.tmp', '32');
     DeleteFile('C:\Program Files (x86)\032B0290-1447152032-05D3-3706-6C0700080009\knsz463E.tmp', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Roaming\.cristalix\Ctfhost\ctfhost.exe', '32');
     DeleteFile('C:\Users\Ярослав\appdata\local\smartweb\__u.exe', '32');
     DeleteService('higumefe');
     DeleteService('hidekoqe');
     DeleteFileMask('C:\Users\Ярослав\AppData\Roaming\.cristalix\Ctfhost', '*', true);
     DeleteFileMask('C:\Program Files (x86)\032B0290-1447152032-05D3-3706-6C0700080009', '*', true);
     DeleteFileMask('C:\Users\Ярослав\appdata\local\smartweb', '*', true);
     DeleteDirectory('C:\Users\Ярослав\AppData\Roaming\.cristalix\Ctfhost');
     DeleteDirectory('C:\Program Files (x86)\032B0290-1447152032-05D3-3706-6C0700080009');
     DeleteDirectory('C:\Users\Ярослав\appdata\local\smartweb');
    ExecuteSysClean;
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).

    Сделайте лог Check Browsers' LNK.
    WBR,
    Vadim

  10. Это понравилось:


  11. #7
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31
    Пожалуйста
    Вложения Вложения

  12. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    За вашим зоопарком не угонишься...

    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     TerminateProcessByName('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe');
     TerminateProcessByName('C:\Users\Ярослав\AppData\Local\Nimdexon.exe');
     TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe');
     TerminateProcessByName('C:\Program Files\Dripkix\Dripkix.exe');
     QuarantineFile('c:\users\Ярослав\appdata\local\gmsd_ru_005010142\upgmsd_ru_005010142.exe', '');
     QuarantineFile('C:\Users\Ярослав\AppData\Local\Nimdexon.exe', '');
     QuarantineFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '');
     QuarantineFile('C:\Program Files\Dripkix\Dripkix.exe', '');
     DeleteFile('C:\Program Files\Dripkix\Dripkix.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\Nimdexon.exe', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '32');
     DeleteFile('C:\Users\Ярослав\AppData\Local\gmsd_ru_005010142\upgmsd_ru_005010142.exe', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010142');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010142.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки:

    1. Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

    2. Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    3. Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    4. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  13. Это понравилось:


  14. #9
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31
    Вадим, извини пожалуйста, сам сижу в шоке(
    Вложения Вложения

  15. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    () C:\Users\Ярослав\AppData\Local\Nimdexon.exe
    CloseProcesses:
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    HKLM\...\Run: [ethminer] => C:\Users\Ярослав\AppData\Roaming\cpuminer\ethminer\start.cmd
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicyUsers\S-1-5-21-1234573137-455775484-786121217-1002\User: Restriction <======= ATTENTION
    CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
    OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
    OPR Session Restore: -> is enabled.
    OPR Extension: (SuperMegaBest.com) - C:\Users\Ярослав\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-04-15]
    R2 aounaoaduapyoductprh; C:\Users\Ярослав\AppData\Local\Nimdexon.exe [46592 2015-11-10] () [File not signed]
    2015-11-10 22:10 - 2015-11-10 23:29 - 00000000 ____D C:\Program Files\Dripkix
    2015-11-10 22:10 - 2015-11-10 22:10 - 00046592 _____ C:\Users\Ярослав\AppData\Local\Nimdexon.exe
    2015-11-10 22:09 - 2015-11-10 22:13 - 00000000 ____D C:\Program Files (x86)\13317190-ff2b-4398-bc07-23c9b70ce25b
    2015-11-10 16:24 - 2015-11-10 16:24 - 00284320 _____ C:\Windows\SysWOW64\ZaxarSetup.4.001.30.exe
    2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Ярослав\AppData\Roaming\5N8x44Anb0lmjS0L98Si5Vng
    2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\Ярослав\AppData\Roaming\5N8x44Anb0lmjS0L98Si5Vng.exe
    2015-03-26 22:14 - 2015-03-26 22:14 - 0005542 _____ () C:\Users\Ярослав\AppData\Roaming\NVTF
    2015-04-18 15:22 - 2015-04-18 15:22 - 1858048 _____ (Cinema PlusV16.04) C:\Users\Ярослав\AppData\Roaming\NVTF.exe
    2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Ярослав\AppData\Roaming\RMM5nKpHUN91bVp
    2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\Ярослав\AppData\Roaming\RMM5nKpHUN91bVp.exe
    2015-11-10 22:10 - 2015-11-10 22:10 - 0046592 _____ () C:\Users\Ярослав\AppData\Local\Nimdexon.exe
    2015-11-10 22:10 - 2015-11-10 22:10 - 0000187 _____ () C:\Users\Ярослав\AppData\Local\Nimdexon.exe.config
    Task: {6846FEB3-4B82-489F-806E-03A0A7EFFDBE} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> No File <==== ATTENTION
    Task: {E8F9D344-ADE0-433C-AA63-6830E14680AA} - \SwiftSearch Auto Updater 1.10.0.25 Core -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\RMM5nKpHUN91bVp.job => C:\Users\�������\AppData\Roaming\RMM5nKpHUN91bVp.exe <==== ATTENTION
    FirewallRules: [{B38545FF-0CCB-466C-9F3B-A392D13C8550}] => (Allow) C:\Users\Ярослав\AppData\Local\Amigo\Application\amigo.exe
    C:\Users\Ярик\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
    C:\Users\Ярослав\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  16. Это понравилось:


  17. #11
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31
    Пожалуйста
    Вложения Вложения

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Похоже, справились.

    Содержимое папки c:\FRST\Quarantine упакуйте с паролем virus в архив .ZIP и отправьте вслед са остальным карантином.
    WBR,
    Vadim

  19. Это понравилось:


  20. #13
    Junior Member (OID) Репутация
    Регистрация
    10.11.2015
    Сообщений
    12
    Вес репутации
    31
    Файл закачан! Вадим, благодарю тебя, обязательно поддержу ваш проект.

  21. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Java 8 обновите до Java 8 Update 65, у Вас устаревшая версия со множеством критических уязвимостей.

    Удалите папку C:\FRST со всем содержимым.

    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  22. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 84
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe - not-a-virus:AdWare.Win32.Eorezo.beay
      2. c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe - not-a-virus:AdWare.Win32.Vitruvian.t ( DrWEB: Adware.Plugin.1186, AVAST4: Win32:Adware-CZP [Adw] )
      3. c:\program files (x86)\swiftsearch_1.10.0.25\update\swiftsearchauto updateclient.exe - not-a-virus:AdWare.Win32.Vitruvian.t ( DrWEB: Adware.Plugin.1201 )
      4. c:\program files\dripkix\dripkix.exe - not-a-virus:AdWare.Win32.Amonetize.bwav ( AVAST4: Win32:Rootkit-gen [Rtk] )
      5. \c\program files\dripkix\packages\ad572aa9-655f-44a4-8580-9768566e930d\drip.exe - not-a-virus:AdWare.Win32.Amonetize.bvfx ( AVAST4: Win32:Dropper-gen [Drp] )
      6. c:\users\ярослав\appdata\local\gmsd_ru_005010142\u pgmsd_ru_005010142.exe - not-a-virus:AdWare.Win32.Eorezo.brqa
      7. \c\users\ярослав\appdata\local\nimdexon.exe.xbad - Trojan-Downloader.MSIL.Crypted.ii ( DrWEB: Trojan.DownLoader17.28781, AVAST4: Win32:Malware-gen )
      8. c:\users\ярослав\appdata\local\smartweb\smartwebap p.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:PriceGong-B [Adw] )
      9. c:\users\ярослав\appdata\local\smartweb\smartwebhe lper.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
      10. c:\users\ярослав\appdata\local\smartweb\swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOJ [Adw] )
      11. c:\users\ярослав\appdata\roaming\.cristalix\ctfhos t\ctfhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aaz
      12. \c\users\ярослав\appdata\roaming\nvtf.exe.xbad - Trojan.NSIS.GoogUpdate.bnn ( BitDefender: Gen:Application.Heur.Xv0@k88fcSiO )
      13. \c\users\ярослав\appdata\roaming\rmm5nkphun91bvp.e xe.xbad - not-a-virus:WebToolbar.Win32.CroRi.fte
      14. \c\users\ярослав\appdata\roaming\5n8x44anb0lmjs0l9 8si5vng.exe.xbad - not-a-virus:WebToolbar.Win32.CroRi.fte
      15. c:\windows\system32\drivers\swsedrvr_vt_1_10_0_25. sys - not-a-virus:NetTool.Win64.NetFilter.l ( DrWEB: Adware.Plugin.1201 )


  • Уважаемый(ая) Василий Чичагов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01433 seconds with 19 queries