Crossbrowse+GAMEDEKSTOP - сладкая парочка [not-a-virus:AdWare.Win32.SearchProtect.tb, not-a-virus:AdWare.NSIS.Adwapper.do ]

Printable View

26.06.2015, 02:29
Ивпал

Вложений: 3

Crossbrowse+GAMEDEKSTOP - сладкая парочка [not-a-virus:AdWare.Win32.SearchProtect.tb, not-a-virus:AdWare.NSIS.Adwapper.do ]

Прилипли [COLOR=#373E4D][FONT=helvetica]GAMEDEKSTOP с [/FONT][/COLOR]Crossbrowse - не оторвать :о(
26.06.2015, 02:30
Info_bot

Уважаемый(ая) [B]Ивпал[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.06.2015, 09:15
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-1-6.exe');
TerminateProcessByName('c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\_iu14d2n.tmp');
TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\is-2lmn6.tmp\dm.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\is-uvoo5.tmp\dm.tmp');
TerminateProcessByName('c:\program files\edu app\bin\eduapp.browseradapter.exe');
TerminateProcessByName('c:\program files\edu app\bin\eduapp.expext.exe');
TerminateProcessByName('c:\program files\edu app\bin\eduapp.purbrowse.exe');
TerminateProcessByName('c:\program files\frightened volume\frightened volume.exe');
TerminateProcessByName('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\hnso280d.tmp');
TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
TerminateProcessByName('c:\program files\infonaut_1.10.0.14\service\insvc.exe');
TerminateProcessByName('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\knszfe46.tmp');
TerminateProcessByName('c:\users\alring\appdata\local\kometa\kometaup.exe');
TerminateProcessByName('c:\windows\system32\netupdsrv.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\is-f6pq7.tmp\predm.tmp');
TerminateProcessByName('c:\program files\xtab\protectservice.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\n2224\s2224.exe');
TerminateProcessByName('c:\users\alring\appdata\local\smartweb\smartwebapp.exe');
TerminateProcessByName('c:\users\alring\appdata\local\smartweb\smartwebhelper.exe');
TerminateProcessByName('c:\users\alring\appdata\local\temp\is-4c0hp.tmp\solun.exe');
TerminateProcessByName('c:\program files\gmsd_ru_268\unins000.exe');
TerminateProcessByName('c:\program files\edu app\updateeduapp.exe');
TerminateProcessByName('c:\program files\edu app\bin\utileduapp.exe');
StopService('Frightened Volume');
StopService('IHProtect Service');
StopService('insvc_1.10.0.14');
StopService('ServiceUpdater');
StopService('Update Edu App');
StopService('Util Edu App');
StopService('wyhesete');
StopService('innfd_1_10_0_14');
StopService('nethfdrv');
QuarantineFile('c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-1-6.exe', '');
QuarantineFile('c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\_iu14d2n.tmp', '');
QuarantineFile('c:\program files\xtab\cmdshell.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\is-2lmn6.tmp\dm.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\is-uvoo5.tmp\dm.tmp', '');
QuarantineFile('c:\program files\edu app\bin\eduapp.browseradapter.exe', '');
QuarantineFile('c:\program files\edu app\bin\eduapp.expext.exe', '');
QuarantineFile('c:\program files\edu app\bin\eduapp.purbrowse.exe', '');
QuarantineFile('c:\program files\frightened volume\frightened volume.exe', '');
QuarantineFile('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\hnso280d.tmp', '');
QuarantineFile('c:\program files\xtab\hpnotify.exe', '');
QuarantineFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe', '');
QuarantineFile('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\knszfe46.tmp', '');
QuarantineFile('c:\users\alring\appdata\local\kometa\kometaup.exe', '');
QuarantineFile('c:\windows\system32\netupdsrv.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\is-f6pq7.tmp\predm.tmp', '');
QuarantineFile('c:\program files\xtab\protectservice.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\n2224\s2224.exe', '');
QuarantineFile('c:\users\alring\appdata\local\smartweb\smartwebapp.exe', '');
QuarantineFile('c:\users\alring\appdata\local\smartweb\smartwebhelper.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\is-4c0hp.tmp\solun.exe', '');
QuarantineFile('c:\program files\gmsd_ru_268\unins000.exe', '');
QuarantineFile('c:\program files\edu app\updateeduapp.exe', '');
QuarantineFile('c:\program files\edu app\bin\utileduapp.exe', '');
QuarantineFile('C:\Program Files\Edu App\bin\42f8f7292fa844bbb01a28c57a8162c7.dll', '');
QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll', '');
QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll', '');
QuarantineFile('c:\progra~2\assist~1\assist~1.dll', '');
QuarantineFile('c:\progra~2\assist~1\AssistantSvc.dll', '');
QuarantineFile('C:\Users\alring\AppData\Local\SmartWeb\swhk.dll', '');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys', '');
QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
QuarantineFile('C:\Users\alring\AppData\Local\Yandex\browser.bat', '');
QuarantineFile('C:\iexplore.bat', '');
QuarantineFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-1-7.exe', '');
QuarantineFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-11.exe', '');
QuarantineFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-5.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-10.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-11.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-5.exe', '');
QuarantineFile('C:\Users\alring\AppData\Local\25814\Updater.exe', '');
QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Users\alring\AppData\Local\Temp\12931609aq', '');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '');
QuarantineFile('c:\programdata\bettersoft\optimizerpro\3036567561.ini', '');
QuarantineFile('c:\users\alring\appdata\local\temp\teamviewer\teamviewer.exe', '');
QuarantineFile('c:\users\alring\appdata\local\temp\teamviewer\teamviewer_desktop.exe', '');
QuarantineFile('C:\Users\alring\appdata\local\smartweb\__u.exe', '');
QuarantineFile('C:\Program Files\edu app\bin\e259081740ca4d038e1f67fd8517bae9.dll', '');
QuarantineFile('C:\Program Files\edu app\bin\36ed28a4ac0a465391ff10beb4246550.dll', '');
QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll', '');
QuarantineFile('C:\Program Files\miuitab\cmdshell.exe', '');
QuarantineFile('C:\Program Files\miuitab\hpnotify.exe', '');
QuarantineFile('C:\Program Files\miuitab\iewatchdog.dll', '');
QuarantineFile('C:\Program Files\miuitab\protectservice.exe', '');
QuarantineFile('C:\Program Files\xtab\browerwatchch.dll', '');
QuarantineFile('C:\Program Files\xtab\browerwatchff.dll', '');
QuarantineFile('C:\Program Files\xtab\suptab.dll', '');
DeleteFile('c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-1-6.exe', '32');
DeleteFile('c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\_iu14d2n.tmp', '32');
DeleteFile('c:\program files\xtab\cmdshell.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\is-2lmn6.tmp\dm.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\is-uvoo5.tmp\dm.tmp', '32');
DeleteFile('c:\program files\edu app\bin\eduapp.browseradapter.exe', '32');
DeleteFile('c:\program files\edu app\bin\eduapp.expext.exe', '32');
DeleteFile('c:\program files\edu app\bin\eduapp.purbrowse.exe', '32');
DeleteFile('c:\program files\frightened volume\frightened volume.exe', '32');
DeleteFile('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\hnso280d.tmp', '32');
DeleteFile('c:\program files\xtab\hpnotify.exe', '32');
DeleteFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe', '32');
DeleteFile('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea\knszfe46.tmp', '32');
DeleteFile('c:\users\alring\appdata\local\kometa\kometaup.exe', '32');
DeleteFile('c:\windows\system32\netupdsrv.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\is-f6pq7.tmp\predm.tmp', '32');
DeleteFile('c:\program files\xtab\protectservice.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\n2224\s2224.exe', '32');
DeleteFile('c:\users\alring\appdata\local\smartweb\smartwebapp.exe', '32');
DeleteFile('c:\users\alring\appdata\local\smartweb\smartwebhelper.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\is-4c0hp.tmp\solun.exe', '32');
DeleteFile('c:\program files\gmsd_ru_268\unins000.exe', '32');
DeleteFile('c:\program files\edu app\updateeduapp.exe', '32');
DeleteFile('c:\program files\edu app\bin\utileduapp.exe', '32');
DeleteFile('C:\Program Files\Edu App\bin\42f8f7292fa844bbb01a28c57a8162c7.dll', '32');
DeleteFile('C:\Program Files\MiuiTab\SupTab.dll', '32');
DeleteFile('C:\Program Files\XTab\IeWatchDog.dll', '32');
DeleteFile('c:\progra~2\assist~1\assist~1.dll', '32');
DeleteFile('c:\progra~2\assist~1\AssistantSvc.dll', '32');
DeleteFile('C:\Users\alring\AppData\Local\SmartWeb\swhk.dll', '32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys', '32');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
DeleteFile('C:\Users\alring\AppData\Local\Yandex\browser.bat', '32');
DeleteFile('C:\iexplore.bat', '32');
DeleteFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-1-7.exe', '32');
DeleteFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-11.exe', '32');
DeleteFile('C:\Program Files\Shop and Save Up\21f37942-3a45-4382-b1fe-8cc39f537431-5.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-10.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-11.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-5.exe', '32');
DeleteFile('C:\Users\alring\AppData\Local\25814\Updater.exe', '32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '32');
DeleteFile('C:\Users\alring\AppData\Local\Temp\12931609aq', '32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '32');
DeleteFile('c:\programdata\bettersoft\optimizerpro\3036567561.ini', '32');
DeleteFile('c:\users\alring\appdata\local\temp\teamviewer\teamviewer.exe', '32');
DeleteFile('c:\users\alring\appdata\local\temp\teamviewer\teamviewer_desktop.exe', '32');
DeleteFile('C:\Users\alring\appdata\local\smartweb\__u.exe', '32');
DeleteFile('C:\Program Files\edu app\bin\e259081740ca4d038e1f67fd8517bae9.dll', '32');
DeleteFile('C:\Program Files\edu app\bin\36ed28a4ac0a465391ff10beb4246550.dll', '32');
DeleteFile('C:\Program Files\miuitab\browerwatchch.dll', '32');
DeleteFile('C:\Program Files\miuitab\cmdshell.exe', '32');
DeleteFile('C:\Program Files\miuitab\hpnotify.exe', '32');
DeleteFile('C:\Program Files\miuitab\iewatchdog.dll', '32');
DeleteFile('C:\Program Files\miuitab\protectservice.exe', '32');
DeleteFile('C:\Program Files\xtab\browerwatchch.dll', '32');
DeleteFile('C:\Program Files\xtab\browerwatchff.dll', '32');
DeleteFile('C:\Program Files\xtab\suptab.dll', '32');
DeleteService('Frightened Volume');
DeleteService('IHProtect Service');
DeleteService('insvc_1.10.0.14');
DeleteService('ServiceUpdater');
DeleteService('Update Edu App');
DeleteService('Util Edu App');
DeleteService('wyhesete');
DeleteService('globalUpdate');
DeleteService('globalUpdatem');
DeleteService('innfd_1_10_0_14');
DeleteService('nethfdrv');
DeleteFileMask('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea', '*', true);
DeleteFileMask('c:\program files\frightened volume', '*', true);
DeleteDirectory('c:\users\alring\appdata\roaming\825a0520-1432061547-11b2-8000-c301d38b96ea');
DeleteDirectory('c:\program files\frightened volume');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-1-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-1-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-11.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-5.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-5_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-10_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-11.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-5.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-5_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "schedule!3036567561.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "21f37942-3a45-4382-b1fe-8cc39f537431-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "5e33840a-99da-48fa-ba99-315a062c8f7d-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "schedule!3036567561" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_9C4780D90027D1678D89549F6FFF5F76');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SmartWeb');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(13);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
26.06.2015, 14:35
Ивпал

Вложений: 2

2-й стандартный скрипт в AVZ

Похоже, что-то ещё осталось...

Карантин отослал.
2-й стандартный скрипт в AVZ выполнил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

лог AdwCleaner

Только просканировал и сделал лог.
Нужно ли теперь выполнить процедуру "Очистить" после сканирования?
26.06.2015, 14:38
Vvvyg

Да, сделайте очистку, после перезагрузки и входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
26.06.2015, 15:36
Ивпал

Вложений: 5

AdwCleaner & FRST

1. Отчёт AdwCleaner - файл AdwCleaner[S0].txt
2. Отчеты FRST.txt, Addition.txt, Shortcut.txt

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

лог Check Browsers' LNK
26.06.2015, 16:31
Vvvyg

Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [gmsd_ru_246] => [X]
HKLM\...\Run: [gmsd_ru_264] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Users\alring\AppData\Roaming\Mozilla\Firefox\Profiles\kthu9345.default\extensions\[email protected]
CHR Extension: (No Name) - C:\Users\alring\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpgagcapnkccceppgljfpoadahaopjdb [2014-12-10]
2015-06-27 12:50 - 2015-06-27 12:50 - 00000687 _____ C:\awhD622.tmp
2015-06-27 00:20 - 2015-06-27 00:20 - 00613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsjA34F.tmp
2015-06-26 23:46 - 2015-06-26 23:46 - 00000687 _____ C:\awh93D5.tmp
2015-06-26 17:10 - 2015-06-26 17:10 - 00000687 _____ C:\awh257A.tmp
015-05-20 01:00 - 2015-05-20 01:00 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsb2E01.tmp
2015-06-01 23:06 - 2015-06-01 23:06 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsdBBE2.tmp
2015-05-19 23:37 - 2015-05-19 23:37 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsj3BC9.tmp
2015-06-27 00:20 - 2015-06-27 00:20 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsjA34F.tmp
2015-06-10 16:42 - 2015-06-10 16:42 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsk783D.tmp
2015-06-12 02:10 - 2015-06-12 02:10 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsl3234.tmp
2015-06-08 13:21 - 2015-06-08 13:21 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nso17A4.tmp
2015-05-19 23:29 - 2015-05-19 23:29 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsrFD66.tmp
2015-06-12 00:01 - 2015-06-12 00:01 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nssF7B3.tmp
2015-06-11 00:32 - 2015-06-11 00:32 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsvD74.tmp
2015-05-19 23:23 - 2015-05-19 23:23 - 0613255 _____ (CMI Limited) C:\Users\alring\AppData\Local\nsy25A3.tmp
2015-03-22 00:33 - 2015-03-22 00:33 - 0000640 _____ () C:\Users\alring\AppData\Local\Temp-log.txt
2015-03-22 00:33 - 2015-03-22 00:33 - 0000000 _____ () C:\Users\alring\AppData\Local\Temp.dat
globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Task: {E3A4AE1B-246B-48F4-BE49-3D31B340C14A} - System32\Tasks\At1 => cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\alring\AppData\Local\Temp\12931609aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts" <==== ATTENTION
Task: {1DDA3223-1F4D-4C85-A202-BBD5A940DCDF} - \cwlcojb No Task File <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => C:\Windows\system32\drivers\etc\hosts && copy C:\Users\alring\AppData\Local\Temp\12931609aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hostsSYSTEM!>AB42;5=> NetScheduleJobAdd.0Э9лєXП!0·&Ґqєњ’Ы™:G«Є{J y
\Щшѓ|ЌUБЅdVцќдs*d°crЌ|)0H©АI <==== ATTENTION
FirewallRules: [{D394CBBE-8892-4123-B900-7C7644F3CFDF}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_ru_290_is1" /f
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.
26.06.2015, 18:17
Ивпал

Вложений: 2

Check_Browsers_LNK.log на ClearLNK

[QUOTE=Vvvyg;1287788]Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
[/QUOTE]
Отчет о Check_Browsers_LNK.log на ClearLNK...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Vvvyg;1287788]запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Сообщите, что с проблемой.[/QUOTE]

Такое ощущение, что пациент вылечен :)
СПАСИБО!
26.06.2015, 19:25
Vvvyg

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
26.06.2015, 19:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]191[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\iexplore.bat - [B]not-a-virus:AdWare.BAT.Clicker.af[/B][*] c:\program files\anyprotectex\anyprotect.exe - [B]not-a-virus:AdWare.Win32.Agent.hpxh[/B][*] c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-10.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-11.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.mv1@ke19CUhO )[*] c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.av1@kCNHKIkO )[*] c:\program files\cinemaplus-4.5vv08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-5.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.dv1@k8IJJKgO )[*] c:\program files\crossbrowse\crossbrowse\application\utility.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.anvf[/B][*] c:\program files\edu app\bin\eduapp.purbrowse.exe - [B]not-a-virus:HEUR:AdWare.Win32.Kranet.heur[/B][*] c:\program files\edu app\bin\e259081740ca4d038e1f67fd8517bae9.dll - [B]not-a-virus:AdWare.Win32.Yotoon.szt[/B] ( DrWEB: Trojan.BPlug.891 )[*] c:\program files\edu app\bin\36ed28a4ac0a465391ff10beb4246550.dll - [B]not-a-virus:AdWare.Win32.Yotoon.szt[/B] ( DrWEB: Trojan.BPlug.891 )[*] c:\program files\edu app\bin\42f8f7292fa844bbb01a28c57a8162c7.dll - [B]not-a-virus:AdWare.Win32.Yotoon.szt[/B] ( DrWEB: Trojan.BPlug.891 )[*] c:\program files\globalupdate\update\globalupdate.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dd[/B][*] c:\program files\gmsd_ru_005010002\gmsd_ru_005010002.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files\gmsd_ru_005010003\gmsd_ru_005010003.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files\gmsd_ru_268\gmsd_ru_268.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files\gmsd_ru_279\gmsd_ru_279.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mfe[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files\gmsd_ru_290\gmsd_ru_290.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files\infonaut_1.10.0.14\service\insvc.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.k[/B][*] c:\program files\miuitab\browerwatchch.dll - [B]not-a-virus:AdWare.Win32.ELEX.ah[/B] ( DrWEB: Adware.Mutabaha.119 )[*] c:\program files\miuitab\cmdshell.exe - [B]not-a-virus:AdWare.Win32.SearchProtect.tc[/B][*] c:\program files\miuitab\hpnotify.exe - [B]not-a-virus:AdWare.Win32.SearchProtect.tb[/B][*] c:\program files\miuitab\iewatchdog.dll - [B]not-a-virus:AdWare.Win32.ELEX.bd[/B] ( DrWEB: Adware.Mutabaha.120 )[*] c:\program files\miuitab\protectservice.exe - [B]not-a-virus:AdWare.Win32.SearchProtect.te[/B][*] c:\program files\miuitab\suptab.dll - [B]not-a-virus:AdWare.Win32.SubTab.i[/B][*] c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-11.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Av1@kOLdyCmO )[*] c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-1-6.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993 )[*] c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-1-7.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.@u1@k4Ea75cO )[*] c:\program files\shop and save up\21f37942-3a45-4382-b1fe-8cc39f537431-5.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.jv1@kWbl3UmO )[*] c:\program files\xtab\browerwatchch.dll - [B]not-a-virus:AdWare.Win32.SearchProtect.rw[/B] ( DrWEB: Adware.Mutabaha.119 )[*] c:\program files\xtab\browerwatchff.dll - [B]not-a-virus:AdWare.Win32.SearchProtect.rw[/B] ( DrWEB: Adware.Mutabaha.119 )[*] c:\program files\xtab\cmdshell.exe - [B]not-a-virus:AdWare.Win32.SubTab.e[/B][*] c:\program files\xtab\hpnotify.exe - [B]not-a-virus:AdWare.Win32.SearchProtect.so[/B][*] c:\program files\xtab\iewatchdog.dll - [B]not-a-virus:AdWare.Win32.SubTab.e[/B] ( DrWEB: Adware.Mutabaha.120 )[*] c:\program files\xtab\protectservice.exe - [B]not-a-virus:AdWare.Win32.SubTab.e[/B][*] c:\program files\xtab\suptab.dll - [B]not-a-virus:AdWare.Win32.SubTab.e[/B][*] c:\progra~2\assist~1\assistantsvc.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( DrWEB: Trojan.WebPick.1218, BitDefender: Adware.Bprotect.B, AVAST4: Win32:Adware-gen [Adw] )[*] c:\progra~2\assist~1\assist~1.dll - [B]not-a-virus:HEUR:AdWare.Win32.Esprot.heur[/B] ( BitDefender: Adware.Bprotect.B, AVAST4: Win32:BProtect-J [Trj] )[*] c:\users\alring\appdata\local\gmsd_ru_268\upgmsd_ru_268.exe - [B]not-a-virus:AdWare.Win32.Eorezo.fkz[/B] ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )[*] c:\users\alring\appdata\local\kometa\kometaup.exe - [B]not-a-virus:Downloader.Win32.Agent.ebbb[/B] ( BitDefender: Gen:Variant.Graftor.165927 )[*] c:\users\alring\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\alring\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\alring\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\alring\appdata\local\smartweb\__u.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: archive:, AVAST4: Win32:Malware-gen )[*] c:\users\alring\appdata\local\temp\is-4c0hp.tmp\solun.exe - [B]not-a-virus:HEUR:Downloader.Win32.Morstar.heur[/B][*] c:\users\alring\appdata\local\yandex\browser.bat - [B]not-a-virus:AdWare.BAT.Clicker.af[/B][*] c:\users\alring\appdata\local\25814\updater.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\windows\system32\drivers\innfd_1_10_0_14.sys - [B]not-a-virus:AdWare.Win32.Vitruvian.j[/B] ( DrWEB: Adware.Popad.10 )[*] c:\windows\system32\drivers\nethfdrv.sys - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Tool.NetFilter.1, BitDefender: Adware.SwiftBrowse.AN, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]