simsimotkroysya

[COLOR=#333333][COLOR=#333333]Здравствуйте, помогите удалить вирус. П[/COLOR][/COLOR][COLOR=#333333][COLOR=#333333][COLOR=#333333]остоянно при загрузке всплывает окно simsimotkroysia и открываеися окно c\windows\system32\cmd.exe[/COLOR][/COLOR][/COLOR]

Уважаемый(ая) [B]tryden[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Отчет

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Отчет

Отчет AdwCleaner старый прислали

Еще раз запустил AdwCleaner (by Xplode)

В этот раз прислали лог, который был в 4 сообщении. Лог после удаления другой получается.

еще раз запустил AdwCleaner (by Xplode),случайно нажал очистить

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]

ОТЧЕТ

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
() C:\Program Files (x86)\Media Saver\Basement\MSLSService.exe
() C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe
() C:\Program Files (x86)\Media Saver\Basement\ExtensionUpdaterService.exe
() C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe
() C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe
() C:\Program Files (x86)\Media Saver\Basement\MSLServer.exe
HKU\S-1-5-21-1711009832-893517021-2702458676-1000\...\Run: [baidu] => C:\Program Files (x86)\baidu\BindEx.exe
HKU\S-1-5-21-1711009832-893517021-2702458676-1000\...\Run: [ywcuzkoftl] => cmd /c start http://simsimotkroysia.ru/
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1711009832-893517021-2702458676-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-1711009832-893517021-2702458676-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
BHO: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar64.dll ()
BHO: advPlugin -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} -> C:\Program Files (x86)\advPlugin\Toolbar64.dll ()
BHO: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\Toolbar64.dll ()
BHO-x32: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar32.dll ()
BHO-x32: advPlugin -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} -> C:\Program Files (x86)\advPlugin\Toolbar32.dll ()
BHO-x32: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\Toolbar32.dll ()
Toolbar: HKU\S-1-5-21-1711009832-893517021-2702458676-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-1711009832-893517021-2702458676-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF Extension: Torrent Search - C:\Users\Никита\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{05EB6920-D8AD-4350-BEF1-4F7107F70431} [2015-01-08]
FF Extension: Currency calc - C:\Users\Никита\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-01-06]
CHR Extension: (No Name) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2015-01-06]
CHR Extension: (No Name) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-01-08]
CHR Extension: (No Name) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhmfdibgakhagkpalkmfamkaojignmbm [2015-01-08]
CHR Extension: (No Name) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-01-08]
CHR Extension: (No Name) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-06]
CHR HKU\S-1-5-21-1711009832-893517021-2702458676-1000\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - C:\Users\Никита\AppData\Roaming\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.1.3.5.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
R2 Update Service for advPlugin; C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe [137592 2014-12-30] ()
R2 Update Service for Media Saver; C:\Program Files (x86)\Media Saver\Basement\ExtensionUpdaterService.exe [136200 2014-12-05] ()
R2 Update Service for Torrent Search; C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe [136200 2014-12-05] ()
R2 Update Service for VK Downloader; C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe [137592 2014-12-30] ()
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
NETSVCx32: KBDMAI -> C:\Windows\SysWOW64\KBDMAI.dll ()
NETSVCx32: d3dadapter -> C:\Windows\SysWOW64\d3dadapter.dll ()
NETSVCx32: ir16_32 -> C:\Windows\SysWOW64\ir16_32.dll ()
NETSVCx32: wlanmgr -> No ServiceDLL Path.
2015-01-09 02:09 - 2015-01-09 02:09 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\Torrent Search
2015-01-09 02:09 - 2015-01-09 02:09 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\Media Saver
2015-01-08 22:59 - 2015-01-09 00:51 - 00000396 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-01-08 22:59 - 2015-01-09 00:51 - 00000396 __RSH () C:\ProgramData\ntuser.pol
2015-01-08 22:59 - 2015-01-08 23:06 - 00000000 ____D () C:\Program Files (x86)\Torrent Search
2015-01-08 22:59 - 2015-01-08 23:00 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\ASPackage
2015-01-08 22:59 - 2015-01-08 22:59 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-01-08 22:59 - 2015-01-08 22:59 - 00000000 ____D () C:\Program Files (x86)\Media Saver
2015-01-06 17:57 - 2015-01-09 02:09 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\VK Downloader
2015-01-06 17:57 - 2015-01-06 17:57 - 00000000 ____D () C:\Users\Никита\AppData\Roaming\advPlugin
2015-01-06 17:49 - 2015-01-09 18:06 - 00000000 ____D () C:\Program Files (x86)\VK Downloader
2015-01-06 17:49 - 2015-01-06 17:49 - 00000000 ____D () C:\Users\Никита\AppData\Local\Вoйти в Интeрнет 2inf.net
2015-01-06 17:44 - 2015-01-06 17:44 - 00000000 ____D () C:\Program Files (x86)\advPlugin
2015-01-06 17:42 - 2015-01-06 17:42 - 00000000 ____D () C:\Users\Никита\AppData\Local\Поиcк в Интeрнете
2015-01-09 20:10 - 2014-09-26 17:07 - 00000426 _____ () C:\Windows\Tasks\BI_75649660.job
2015-01-09 20:10 - 2014-09-26 17:07 - 00000426 _____ () C:\Windows\Tasks\BI_75590676.job
2015-01-09 20:10 - 2014-09-26 17:07 - 00000410 _____ () C:\Windows\Tasks\newSI_4.job
2015-01-09 20:10 - 2014-08-18 22:58 - 00000426 _____ () C:\Windows\Tasks\newSI_20107.job
2015-01-09 20:10 - 2014-08-10 23:36 - 00000422 _____ () C:\Windows\Tasks\newSI_4396.job
2015-01-09 20:10 - 2014-08-10 23:36 - 00000422 _____ () C:\Windows\Tasks\newSI_2149.job
2015-01-09 20:10 - 2014-08-10 23:36 - 00000410 _____ () C:\Windows\Tasks\newSI_1.job
Task: {00E9648D-23FE-40F0-B0F2-D7AA57AE2F88} - \newSI_1 No Task File <==== ATTENTION
Task: {27CD8A3A-26BB-4A3A-8202-4E7429D39F53} - \newSI_20107 No Task File <==== ATTENTION
Task: {416F47E6-BE88-4758-87F8-FFFD84B32AAD} - System32\Tasks\BI_75649660 => C:\Users\843E~1\AppData\Local\Temp\mm_70FE.tmp\BI_75649660.bat <==== ATTENTION
Task: {44C2F605-A8CA-4CFF-9289-3B481E49421E} - \SystemScript No Task File <==== ATTENTION
Task: {49C50D97-5917-4DC0-A302-F9895492E682} - System32\Tasks\BI_75590676 => C:\Users\843E~1\AppData\Local\Temp\mm_7072.tmp\BI_75590676.bat <==== ATTENTION
Task: {8F06B002-793A-4B2C-B4CE-493005BCEC61} - \newSI_4396 No Task File <==== ATTENTION
Task: {D15FA58B-9539-4611-AF6D-A28E3AAD6310} - System32\Tasks\newSI_4 => C:\Users\Никита\AppData\Roaming\newSI_4\s_inst.exe
Task: {D383CC9E-7B62-468C-8CF4-7098F384E63A} - System32\Tasks\newSI_2149 => C:\Users\Никита\AppData\Roaming\newSI_2149\s_inst.exe
Task: C:\Windows\Tasks\BI_75590676.job => ?
Task: C:\Windows\Tasks\BI_75649660.job => ?
Task: C:\Windows\Tasks\HDMQE.job => C:\Users\эяэяэяэяэяэя\AppData\Roaming\HDMQE.exe <==== ATTENTION
Task: C:\Windows\Tasks\newSI_1.job => C:\Users\8:8B4\AppData\Roaming\newSI_1\s_inst.exe
Task: C:\Windows\Tasks\newSI_20107.job => C:\Users\8:8B4\AppData\Roaming\newSI_20107\s_inst.exe
Task: C:\Windows\Tasks\newSI_2149.job => C:\Users\8:8B4\AppData\Roaming\newSI_2149\s_inst.exe
Task: C:\Windows\Tasks\newSI_4.job => C:\Users\8:8B4\AppData\Roaming\newSI_4\s_inst.exe
Task: C:\Windows\Tasks\newSI_4396.job => C:\Users\8:8B4\AppData\Roaming\newSI_4396\s_inst.exe
Task: C:\Windows\Tasks\QDBBKL.job => C:\Users\эяэяэяэяэяэя\AppData\Roaming\QDBBKL.exe <==== ATTENTION
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

окно после перезагрузке не появилось

Что с проблемой?

Проблема исчезла,спасибо,а с другой создавать новую тему.

Если компьютер другой, то да - создавайте новую тему.

[LIST=1][*]Скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][*]После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B][*]Прикрепите этот отчет в вашей теме.[/LIST]

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Компьютер тот же.В браузере происходит переадресация на GOINF.RU,на страницах всплывают дополнительные окошки.

[QUOTE]Компьютер тот же.В браузере происходит переадресация на GOINF.RU,на страницах всплывают дополнительные окошки.[/QUOTE]
[QUOTE]Проблема исчезла,спасибо[/QUOTE]
Как это понять?

simsimotkroysya пропала.Это другая проблема на том же компьютере