Показано с 1 по 8 из 8.

Произвольно устанавливаются программы, после скачивания торрент-файла. [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:WebToolbar.Win32.CrossRider.apka ] (заявка № 195097)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    22.12.2015
    Сообщений
    3
    Вес репутации
    4

    Произвольно устанавливаются программы, после скачивания торрент-файла. [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:WebToolbar.Win32.CrossRider.apka ]

    Ежедневно устанавливаются такие программы как Спутник, GamesDesktop, расширения от Mail.ru. Выполнил проверку с помощью KVRT. Не помогло. Скачал программы, создал логи, которые прикреплены.
    Заранее спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Vic Pinky, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,810
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe');
     TerminateProcessByName('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp');
     TerminateProcessByName('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp');
     TerminateProcessByName('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs');
     TerminateProcessByName('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe');
     TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
     TerminateProcessByName('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp');
     TerminateProcessByName('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe');
     TerminateProcessByName('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe');
     TerminateProcessByName('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe');
     TerminateProcessByName('c:\windows\syswow64\rundll32.exe');
     StopService('hetikiju');
     StopService('rudoluje');
     StopService('Updater.Mail.Ru');
     QuarantineFile('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe', '');
     QuarantineFile('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp', '');
     QuarantineFile('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp', '');
     QuarantineFile('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs', '');
     QuarantineFile('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe', '');
     QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
     QuarantineFile('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp', '');
     QuarantineFile('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe', '');
     QuarantineFile('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe', '');
     QuarantineFile('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe', '');
     QuarantineFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\RushDownload.dll', '');
     QuarantineFile('C:\Users\DC61~1\AppData\Local\Temp\{6E705B60-BF5B-44C3-AC44-D510B849A159}\{B322D59F-C21C-4809-8792-32C955DC8E3E}.tmp', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
     QuarantineFile('C:\Users\Котик\AppData\Roaming\ASPackage\ASPackage.exe', '');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
     QuarantineFile('C:\Users\DC61~1\AppData\Local\Temp\Updater.exe', '');
     QuarantineFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\owlnhpy.dll', '');
     DeleteFile('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe', '32');
     DeleteFile('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp', '32');
     DeleteFile('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp', '32');
     DeleteFile('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs', '32');
     DeleteFile('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe', '32');
     DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
     DeleteFile('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp', '32');
     DeleteFile('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe', '32');
     DeleteFile('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe', '32');
     DeleteFile('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe', '32');
     DeleteFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\RushDownload.dll', '32');
     DeleteFile('C:\Users\DC61~1\AppData\Local\Temp\{6E705B60-BF5B-44C3-AC44-D510B849A159}\{B322D59F-C21C-4809-8792-32C955DC8E3E}.tmp', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
     DeleteFile('C:\Users\Котик\AppData\Roaming\ASPackage\ASPackage.exe', '32');
     DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
     DeleteFile('C:\Users\DC61~1\AppData\Local\Temp\Updater.exe', '32');
     DeleteFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\owlnhpy.dll', '32');
     DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
     DeleteService('hetikiju');
     DeleteService('rudoluje');
     DeleteService('Updater.Mail.Ru');
     DeleteService('zizusyju');
     DeleteService('woforemu');
     DeleteService('rizyqibe');
     DeleteService('hidekoqe');
     DeleteService('ginoquci');
     DeleteFileMask('c:\users\Котик\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
     DeleteFileMask('c:\users\Котик\appdata\local\smartweb', '*', true);
     DeleteFileMask('C:\Users\Котик\AppData\Local\Rush Download', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
     DeleteFileMask('C:\Users\Котик\AppData\Roaming\ASPackage', '*', true);
     DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
     DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
     DeleteDirectory('c:\users\Котик\appdata\local\mail.ru');
     DeleteDirectory('c:\program files (x86)\mail.ru');
     DeleteDirectory('c:\users\Котик\appdata\local\smartweb');
     DeleteDirectory('C:\Users\Котик\AppData\Local\Rush Download');
     DeleteDirectory('C:\Program Files (x86)\Zaxar');
     DeleteDirectory('C:\Users\Котик\AppData\Roaming\ASPackage');
     DeleteDirectory('C:\Program Files\SpaceSoundPro');
     DeleteDirectory('C:\Program Files (x86)\IObit');
     ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Rush Download" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Rush Download2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Котик" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SmartWeb');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010189');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010189.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
    ExecuteSysClean;
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    22.12.2015
    Сообщений
    3
    Вес репутации
    4
    Логи сделал. Карантин загрузил.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,810
    Вес репутации
    779
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    22.12.2015
    Сообщений
    3
    Вес репутации
    4
    Отчет прилагаю. По прошествии двух суток ничего не происходит.
    Благодарю за помощь в борьбе с этими вредителями!
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,810
    Вес репутации
    779
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,540
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\котик\appdata\local\rush download\{202edb0a-ee3d-2119-aac8-62279b1779bb}\owlnhpy.dll - not-a-virus:WebToolbar.Win32.CrossRider.apqa
      2. c:\users\котик\appdata\local\rush download\{202edb0a-ee3d-2119-aac8-62279b1779bb}\rushdownload.dll - not-a-virus:WebToolbar.Win32.CrossRider.apka
      3. c:\users\котик\appdata\local\smartweb\smartwebhelp er.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )


  • Уважаемый(ая) Vic Pinky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 12
      Последнее сообщение: 18.07.2015, 21:50
    2. Установились непонятные программы после запуска торрент-файла
      От Александр Оноприенко в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.05.2015, 01:58
    3. Ответов: 10
      Последнее сообщение: 20.04.2015, 22:41
    4. Ответов: 15
      Последнее сообщение: 02.03.2015, 16:00
    5. Ответов: 5
      Последнее сообщение: 22.12.2011, 18:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00103 seconds with 22 queries