Здравствуйте, уважаемые специалисты.
Поймал вирус, побороть не могу.
Симптомы:
1) в Хроме время от времени открываются окна с различной рекламой
2) В процессах находится процесс upgmsd_ru_005010238.exe
3) Иногда выпрыгивает окно следующего содержания (не в браузере):
software release pack 4.07 is available (судя по всему это набор программ mail.ru). Если нужно, прикреплю скриншоты.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DushesKirov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Кейлоггер в папке C:\Program Files\mpk - сами устанавливали?
url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Светик\appdata\local\gmsd_ru_005010238\upgmsd_ru_005010238.exe'); TerminateProcessByName('C:\Users\Светик\AppData\Local\gmsd_ru_005010238\Download\wizzupdater.exe'); QuarantineFile('c:\users\Светик\appdata\local\gmsd_ru_005010238\upgmsd_ru_005010238.exe', ''); QuarantineFile('C:\Program Files\WajaNetEn\b6068e2dd7db19c83ca2fa3c131e16b6.exe', ''); QuarantineFile('C:\Users\Светик\AppData\Local\gmsd_ru_005010238\Download\wizzupdater.exe', '' QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_5.sys', ''); QuarantineFile('C:\Program Files\gmsd_ru_005010238\gmsd_ru_005010238.exe', ''); QuarantineFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', ''); QuarantineFile('C:\Users\Светик\AppData\Local\Mail.Ru\MailRuUpdater.exe', ''); QuarantineFile('C:\Program Files\rec_ru_199\rec_ru_199.exe', ''); QuarantineFile('C:\Program Files\rec_ru_200\rec_ru_200.exe', ''); QuarantineFile('C:\Program Files\rec_ru_204\rec_ru_204.exe', ''); QuarantineFile('C:\Program Files\rec_ru_205\rec_ru_205.exe', ''); QuarantineFile('C:\Program Files\rec_ru_209\rec_ru_209.exe', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Program Files\NewExt\nssm.exe', ''); QuarantineFile('C:\Users\DBFE~1\AppData\Local\Temp\svchosts.exe', ''); QuarantineFile('C:\ProgramData\GWhnAm\LewCNqpw5.bat', ''); QuarantineFile('C:\ProgramData\wAEscnzNY\XHdmnPoqb1.bat', ''); DeleteFile('C:\Windows\Tasks\Sentry.UUYZXSBRRAAOKWGV7INNXACQRQ.restart.job', '32'); DeleteFile('c:\users\Светик\appdata\local\gmsd_ru_005010238\upgmsd_ru_005010238.exe', '32'); DeleteFile('C:\Program Files\WajaNetEn\b6068e2dd7db19c83ca2fa3c131e16b6.exe', '32'); DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_5.sys', '32'); DeleteFile('C:\Program Files\gmsd_ru_005010238\gmsd_ru_005010238.exe', '32'); DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', '32'); DeleteFile('C:\Users\Светик\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32'); DeleteFile('C:\Program Files\rec_ru_199\rec_ru_199.exe', '32'); DeleteFile('C:\Program Files\rec_ru_200\rec_ru_200.exe', '32'); DeleteFile('C:\Program Files\rec_ru_204\rec_ru_204.exe', '32'); DeleteFile('C:\Program Files\rec_ru_205\rec_ru_205.exe', '32'); DeleteFile('C:\Program Files\rec_ru_209\rec_ru_209.exe', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Program Files\NewExt\nssm.exe', '32'); DeleteFile('C:\Users\DBFE~1\AppData\Local\Temp\svchosts.exe', '32'); DeleteFile('C:\ProgramData\GWhnAm\LewCNqpw5.bat', '32'); DeleteFile('C:\ProgramData\wAEscnzNY\XHdmnPoqb1.bat', '32'); DeleteFile('C:\Users\Светик\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('sentry.exe', '32'); DeleteFile('C:\ProgramData\UpService\UpService.exe', '32'); DeleteService('WajaNetEn Monitor'); DeleteService('ccnfd_1_10_0_5'); DeleteFileMask('C:\Program Files\WajaNetEn', '*', true); DeleteFileMask('C:\Program Files\Mail.Ru', '*', true); DeleteFileMask('C:\Users\Светик\AppData\Local\Mail.Ru', '*', true); DeleteFileMask('C:\Program Files\rec_ru', '*', true); DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true); DeleteFileMask('C:\Program Files\Zaxar', '*', true); DeleteFileMask('C:\Users\Светик\AppData\Local\Amigo', '*', true); DeleteFileMask('C:\ProgramData\UpService', '*', true); DeleteDirectory('C:\Program Files\WajaNetEn'); DeleteDirectory('C:\Program Files\Mail.Ru'); DeleteDirectory('C:\Users\Светик\AppData\Local\Mail.Ru'); DeleteDirectory('C:\Program Files\rec_ru'); DeleteDirectory('C:\Program Files\SpaceSoundPro'); DeleteDirectory('C:\Program Files\Zaxar'); DeleteDirectory('C:\Users\Светик\AppData\Local\Amigo'); DeleteDirectory('C:\ProgramData\UpService'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Sentry.UUYZXSBRRAAOKWGV7INNXACQRQ" /F', 0, 15000, true); BC_ImportALL; ExecuteSysClean; ExecuteRepair(22); ExecuteRepair(23); ExecuteRepair(13); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' Lnk 2.
WBR,
Vadim
Нет, не устанавливали. Эта папка скрыта, но там есть файл unins000.exe (помимо прочих). Им можно воспользоваться для удаления? Пока никакие файлы из этой папки не запускал, не удалял.Кейлоггер в папке C:\Program Files\mpk - сами устанавливали?
Логи прилагаю.
Adwcleaner пока не закрывать?
Да, удалите через unins000.exe.
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Готово
Вижу:Это что Вы уже самостоятельно фиксили?Код:2016-02-27 13:50 - 2016-02-27 13:50 - 00005969 _____ C:\Users\Светик\Downloads\Fixlog.txtМожет, и дальше продолжите самолечение?
- - - - -Добавлено - - - - -
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKU\S-1-5-21-50016924-4113925248-1561253612-1000\...\MountPoints2: {0da6466e-22c1-11e3-99de-929ffa50490b} - G:\.\checkSetup.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File URLSearchHook: HKLM - (No Name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - No File Toolbar: HKLM - No Name - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - No File CHR HKLM\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ikloigadafpfgepigfclhbfehilnljkg] - C:\Users\Светик\AppData\Local\CRE\ikloigadafpfgepigfclhbfehilnljkg.crx <not found> CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-50016924-4113925248-1561253612-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ikloigadafpfgepigfclhbfehilnljkg] - C:\Users\Светик\AppData\Local\CRE\ikloigadafpfgepigfclhbfehilnljkg.crx <not found> HKU\S-1-5-21-50016924-4113925248-1561253612-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=789106 SearchScopes: HKU\S-1-5-21-50016924-4113925248-1561253612-1000 -> DefaultScope {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6E02379C-92CB-4B23-AE83-092C0A7272B4%7D&gp=789106 SearchScopes: HKU\S-1-5-21-50016924-4113925248-1561253612-1000 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = hxxp://search.qip.ru/search?query={searchTerms}&from=IE SearchScopes: HKU\S-1-5-21-50016924-4113925248-1561253612-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6E02379C-92CB-4B23-AE83-092C0A7272B4%7D&gp=789106 CHR HomePage: Default -> mail.ru/cnt/11956636 CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn6.0.1 CHR DefaultSearchKeyword: Default -> mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} 2016-02-28 16:59 - 2016-02-27 20:04 - 00000831 _____ C:\Windows\system32\Drivers\etc\2016-02-28_16-59_hosts.bak 2016-02-25 22:01 - 2016-02-27 09:23 - 00000000 ____D C:\Program Files\NewExt 2016-02-14 19:45 - 2016-02-14 19:41 - 00221240 _____ (AVAST Software) C:\Windows\system32\Drivers\aswB665.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00812720 _____ (AVAST Software) C:\Windows\system32\Drivers\aswA1C6.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00447848 _____ (AVAST Software) C:\Windows\system32\Drivers\aswB3E4.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00355616 _____ (AVAST Software) C:\Windows\system32\Drivers\asw9B9D.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00127432 _____ (AVAST Software) C:\Windows\system32\Drivers\aswB80B.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00091232 _____ (AVAST Software) C:\Windows\system32\Drivers\aswA9C3.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00091168 _____ (AVAST Software) C:\Windows\system32\Drivers\aswAFDD.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00058776 _____ (AVAST Software) C:\Windows\system32\Drivers\aswB1B2.tmp 2016-02-14 19:45 - 2016-02-14 19:40 - 00032792 _____ (AVAST Software) C:\Windows\system32\Drivers\aswAC72.tmp 2012-09-29 13:28 - 2012-09-29 13:29 - 0000005 _____ () C:\Users\Светик\AppData\Roaming\archive.tmp 2012-09-29 13:28 - 2012-09-29 13:29 - 0000023 _____ () C:\Users\Светик\AppData\Roaming\internet.tmp Task: {4236809E-E12A-4700-BFD9-F1D660007FF6} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\UpService\UpService.exe <==== ATTENTION Task: {6C8153A6-89D7-4D90-A9CE-7FBA72DD09C6} - System32\Tasks\Sentry.UUYZXSBRRAAOKWGV7INNXACQRQ.logon => sentry.exe Task: {C23EF325-7040-43AE-B2AE-2A02EB3C2E4B} - no filepath Task: {EB41A86C-457A-4BEB-BB98-A32C4AF2FE22} - System32\Tasks\Advanced System Protector_startup => C:\Program Files\Advanced System Protector\AdvancedSystemProtector.exe <==== ATTENTION AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} AlternateDataStreams: C:\ProgramData\TEMP:07BF512B AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A AlternateDataStreams: C:\ProgramData\TEMP:A064CECC AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A FirewallRules: [{5DD25DF1-7B28-4924-84D3-B549A4AE03B5}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{803DBE33-8B3B-46BB-90E9-8FDA34460D56}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{18878AF2-26C6-4F1D-B39A-1BF15D06284F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{0A371061-69ED-4E54-B69B-DC7A768366DB}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{A39AED5E-3F55-4EB8-9207-21FB7FA6649E}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{29032619-F6F4-44A3-BE21-0DDB7D3F51B4}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{ED9368A7-A7FD-4511-928A-C15C1D74F11F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{5A220CB7-578E-44E3-BD45-B1E506CBDD19}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{C2FB08AD-B455-4559-8194-A8E00F8A194C}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{43C0A8F5-1680-4C09-A015-4899590DD795}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{8846B197-5A48-463E-BB69-E81C3AAD6F06}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{A470CB16-1721-4405-954E-7A853EB552B3}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9081CC47-04B9-4FDF-84AB-C3C6252CD4CF}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{D6879ED7-0C4B-4F0C-AC1C-000FDD73C7D4}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{337C62F8-BAA6-4EA2-964E-D085D8979C23}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{8F0CE9FC-93BE-4DD0-85CF-2BBECC7C1A78}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{AC6DB8E5-5200-4CE7-A17D-29FE57A9ECB7}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{220E737D-8609-4E6E-973B-57615D7A5CCF}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{B1823791-FDB1-4B36-A005-CDF58CC3A8D2}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{FF5906DB-DCED-435A-BA12-0858893B3AD7}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{7610598F-30AA-463A-A702-A19595EC1EC1}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9723AFFB-2E01-49B0-BD8C-E2558C9F08E4}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{1E09E6A7-E468-48E0-A10F-20EEE2BAC799}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{07D8A6D4-A46C-4F90-973B-DA2A57E7B01E}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{89A50A1E-38D6-454F-95AB-2D30D1A9C0AE}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{A4A7DA8E-2A87-4C0A-92A1-E90D62FE509D}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{0C90F8E5-18DE-479B-8FB2-29A9474DB5A0}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{766A4F4D-55ED-4886-8B58-112A529F931B}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{18365823-D4D8-4871-A527-918DF499B5B6}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{0DC7BE15-C9FF-46AF-91D7-0FCABDC1D343}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{C1CEDC66-C4F8-4FE8-9A79-E4CE7664E009}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{77C9AB26-A473-468E-A71D-9FFD49160E3A}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{EA674590-EF63-4396-B545-99810D48F571}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9BFBD471-FEC9-4C9E-A151-F7489819A099}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{F23B572B-5AC5-41E3-8478-69E5C7F8FCBA}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{4FFC588A-C3FA-48E1-9465-AA67198D785C}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{81B5530A-7804-4F3B-9D8E-569A0D356146}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9212F3DE-F7A5-4CEB-9CA4-323C32EC1F6D}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{473028A1-DEE3-4F2E-99B1-BBDA6967B537}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{62CA1958-91D4-436A-BAB3-F1E7EDB87196}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{013D25A3-64BD-4223-AB53-7164AED7C461}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{E315C955-240E-4320-98A3-BAA290B2EA2D}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{3F84B511-929E-4BA7-A339-BD900479C89F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{89A47390-8099-41A9-B31C-AB817BA9B0D3}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{FC59796D-3656-41E4-B307-9E477E593E47}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{7FF968BE-F8A2-4965-8DED-4427DA4F49FE}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{125F90D2-71A2-4F01-8916-DE18BC4D4781}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9DFE0552-3B0E-413D-BAB6-D87578077D4C}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{1B6DD54A-013C-4E95-99DD-A8BA8576DD72}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{ACA93FCD-ABC7-4C9E-AF6C-29A3DDDD069E}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{6365E528-BB79-4A99-823B-FC20C7FEC47E}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{A8DDC02C-3B8C-4B9D-80D3-FDADE8215787}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{9BD91456-820B-4365-B54F-3E0C44977755}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{601720FC-792E-4302-ADFD-BE1794391D38}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{C1C3AA2C-B4C9-4750-9DA0-A57ADB4C81F0}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{85169E8E-35D7-4938-962D-2CA83052678C}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{376A49C1-85DD-42C4-9C4E-C792042869FD}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{D128C568-ED65-4A06-8C03-5CBBF9F66943}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{1E7A43CC-0374-41B2-A68C-0FFFEB49BC2F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{C405AD89-A692-424A-9689-1841FC737F7D}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{5BCD12EA-A480-488D-9593-62C7144DA867}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{EDD4CAEA-1DE5-4436-9C85-3F05ED56217F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{37CA79F9-FA02-4E77-9D90-F7854F1BD02A}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{ED65E573-517F-4808-A294-EA78F14901E4}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{CC365AF8-34F9-47B8-BE27-1258252CD1CB}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{72931B18-1D7D-491E-9E9D-7484BB0E818B}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{DAE306B2-3C7F-403D-8383-32EE0547CF6B}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{D2D03873-E0AF-4D91-BF12-2D99EBED467F}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{EF34F7D3-EE02-4AE4-B33D-303263E03C42}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{FDC4AD41-E7AC-44D8-ADA5-769C2CDA8DC6}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{AF27B696-E321-4932-9C6D-3CDBB18248AC}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{AA780166-9912-4F27-A786-5DE07B71050C}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{140F2994-9799-4DA0-8DBD-03A20926F209}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{B9BFC34C-A327-42E2-B9FB-EB9353FB5D9B}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{6FA14DAD-33D9-40BC-ABB1-085E085D024B}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{693962C5-3CCD-4FE6-A985-E8E7D2CFF550}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{0B3E4B71-91FC-41D5-B9AC-DFE5BD041D61}] => (Allow) C:\Program Files\NewExt\jsinjector.exe FirewallRules: [{990DE0D0-C301-481B-930D-637917CEE9B0}] => (Allow) C:\Program Files\NewExt\jsinjector.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default)\GamesDesktop.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010238" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NetSecurityExtension_is1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_199" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_200" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_204" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_205" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_209" /f EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Да, пытался вылечиться самостоятельно. Но, как видите по дате и времени файла, это было до обращения на форум.Это что Вы уже самостоятельно фиксили? Может, и дальше продолжите самолечение?
Нет, самолечение к успеху не привело, поэтому предпочёл бы делать это с Вашей помощью, с Вашего позволения.
- - - - -Добавлено - - - - -
Файл прилагаю.
Проблема себя более не проявляет.
- - - - -Добавлено - - - - -
Спасибо Вам за помощь!!!
Есть ещё один вопрос, к вопросу в теме не имеющий отношения. У нашей фирмы есть сайт http://kuzovkirov.ru/. Яндекс в последнее время в выдаче сообщает о том, что "на сайте обнаружен вредоносный код", однако сканеры DrWeи и Касперский ничего подозрительного не находят. Может быть посоветуете сервис или программу, которая могла бы помочь. Если такие вопросы не по адресу, прошу простить, с этим вопросам обратимся к разработчикам сайта или к хостеру.
И вряд ли могло, поскольку скрипты пишутся по конкретным логам и только для этой системы. Бездумное применение скриптов из чужих тем может привести к краху системы, имейте ввиду.Сообщение от DushesKirov
Вроде вообще никто там плохого не видит: https://www.virustotal.com/ru/url/dd...is/1456680824/
Обратитесь сюда: Лечение и защита сайтов от вирусов.
Возможно, придётся в Яндекс обращаться.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\wajaneten\b6068e2dd7db19c83ca2fa3c131e16b6.e xe - Packed.Win32.Krap.hc
- c:\users\светик\appdata\local\gmsd_ru_005010238\up gmsd_ru_005010238.exe - Packed.Win32.Krap.hc
Уважаемый(ая) DushesKirov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
