AnyProtect [not-a-virus:AdWare.Win32.WProtManager.bj, not-a-virus:RiskTool.Win32.GlobalUpdate.dx ]

Printable View

09.07.2015, 19:36
stason1988

AnyProtect [not-a-virus:AdWare.Win32.WProtManager.bj, not-a-virus:RiskTool.Win32.GlobalUpdate.dx ]

помогите! эта зараза самопроизвольно устанавливается даже после ее улаления!
09.07.2015, 19:37
Info_bot

Уважаемый(ая) [B]stason1988[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.07.2015, 09:36
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\стас\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Users\стас\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-5.exe','');
QuarantineFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-11.exe','');
QuarantineFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-10.exe','');
QuarantineFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-7.exe','');
QuarantineFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-6.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-5.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-11.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-10.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-1-7.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\стас\AppData\Local\Yandex\browser.bat','');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
SetServiceStart('zejytose', 4);
DeleteService('zejytose');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('vicoqudu', 4);
DeleteService('vicoqudu');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
TerminateProcessByName('c:\users\стас\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe');
QuarantineFile('c:\users\стас\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe','');
TerminateProcessByName('c:\users\стас\appdata\local\gmsd_ru_005010025\upgmsd_ru_005010025.exe');
QuarantineFile('c:\users\стас\appdata\local\gmsd_ru_005010025\upgmsd_ru_005010025.exe','');
TerminateProcessByName('c:\users\стас\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\стас\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\стас\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\стас\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\knsz637e.tmp');
QuarantineFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\knsz637e.tmp','');
TerminateProcessByName('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\jnsq13dd.tmp');
QuarantineFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\jnsq13dd.tmp','');
TerminateProcessByName('c:\program files\infonaut_1.10.0.14\service\insvc.exe');
QuarantineFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe','');
TerminateProcessByName('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\hnsl57b2.tmp');
QuarantineFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\hnsl57b2.tmp','');
TerminateProcessByName('c:\program files\gmsd_ru_005010025\gmsd_ru_005010025.exe');
QuarantineFile('c:\program files\gmsd_ru_005010025\gmsd_ru_005010025.exe','');
TerminateProcessByName('c:\program files\globalupdate\update\globalupdate.exe');
QuarantineFile('c:\program files\globalupdate\update\globalupdate.exe','');
TerminateProcessByName('c:\program files\shop and save up\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.exe');
QuarantineFile('c:\program files\shop and save up\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.exe','');
DeleteFile('c:\program files\shop and save up\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.exe','32');
DeleteFile('c:\program files\globalupdate\update\globalupdate.exe','32');
DeleteFile('c:\program files\gmsd_ru_005010025\gmsd_ru_005010025.exe','32');
DeleteFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\hnsl57b2.tmp','32');
DeleteFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe','32');
DeleteFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\jnsq13dd.tmp','32');
DeleteFile('c:\users\стас\appdata\roaming\a2365b40-1436279669-11df-9aea-20cf303e7e31\knsz637e.tmp','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('c:\users\стас\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\стас\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('c:\users\стас\appdata\local\gmsd_ru_005010025\upgmsd_ru_005010025.exe','32');
DeleteFile('c:\users\стас\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010025');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
DeleteFile('C:\Users\стас\AppData\Local\Yandex\browser.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010025.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010026.exe');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-1-6.job','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-1-7.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-1-7.exe','32');
DeleteFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-10.exe','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-10_user.job','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-11.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-11.exe','32');
DeleteFile('C:\Program Files\Shop and Save Up\1d0f7402-034b-4c5f-9883-106e98f36801-5.exe','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-5.job','32');
DeleteFile('C:\Windows\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-5_user.job','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-6.job','32');
DeleteFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-6.exe','32');
DeleteFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-7.exe','32');
DeleteFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-10.exe','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-10_user.job','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-7.job','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-11.job','32');
DeleteFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-11.exe','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-5.job','32');
DeleteFile('C:\Windows\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-5_user.job','32');
DeleteFile('C:\Program Files\CiPlus-4.5vV07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-5.exe','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-11','32');
DeleteFile('C:\Windows\system32\Tasks\1d0f7402-034b-4c5f-9883-106e98f36801-5','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
DeleteFile('C:\Windows\system32\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-11','32');
DeleteFile('C:\Windows\system32\Tasks\ec1d2b32-007f-4505-8d21-7b79e12a65db-5','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Users\стас\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Users\стас\appdata\local\smartweb\swhk.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

[B][COLOR="Blue"]Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи[/COLOR][/B]

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
11.07.2015, 14:18
stason1988

скрипты выполнил! повторные логи высылаю

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Снова установилась сама!
11.07.2015, 17:36
thyrex

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
11.07.2015, 18:15
stason1988

Все сделал

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

сейчас плюс ко всему сами начали открываться вкладки с рекламой в яндекс браузере
11.07.2015, 21:56
thyrex

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_005010026] => [X]
HKLM\...\Run: [SmartWeb] => C:\Users\стас\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.)
HKLM\...\Run: [gmsd_ru_005010027] => C:\Program Files\gmsd_ru_005010027\gmsd_ru_005010027.exe [3988112 2015-07-10] ()
HKLM\...\Run: [rec_ru_45] => C:\Program Files\rec_ru_45\rec_ru_45.exe [3987088 2015-07-10] ()
HKLM\...\RunOnce: [upgmsd_ru_005010027.exe] => C:\Users\стас\AppData\Local\gmsd_ru_005010027\upgmsd_ru_005010027.exe [3290256 2015-07-10] ()
HKLM\...\RunOnce: [Update] => C:\Users\стас\AppData\Roaming\ASPackage\ASPackage.exe /runonce
Startup: C:\Users\стас\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-07-11]
ShortcutTarget: SmartWeb.lnk -> C:\Users\стас\AppData\Local\SmartWeb\SmartWebHelper.exe (SoftBrain Technologies Ltd.)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
HKU\S-1-5-21-1104780772-182417783-2948013096-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1436281196&z=8909983cf4423fffb11b9deg3z2ccq9o4b8g8g0t9o&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
HKU\S-1-5-21-1104780772-182417783-2948013096-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q
HKU\S-1-5-21-1104780772-182417783-2948013096-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1436281196&z=8909983cf4423fffb11b9deg3z2ccq9o4b8g8g0t9o&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
HKU\S-1-5-21-1104780772-182417783-2948013096-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1436460721&z=8c486d96f146054ade96c81gezdc3qazeq6edmce1t&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1104780772-182417783-2948013096-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q&ts=1436460740&type=default&q={searchTerms}
BHO: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files\MiuiTab\SupTab.dll [2015-06-24] (Thinknice Co. Limited)
BHO: CouponsPlus -> {6530FCA9-6B89-45CA-A65E-B0EF98831E24} -> C:\Program Files\CouponsPlus\6G9dVprIAhz6lN.dll [2015-07-11] ()
DefaultPrefix: => http://spacesearch.ru/?ri=1&rsid=0fee424e9c2fa8b8e7960de3be30da52&q= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1436280960&z=508b2bd94168cba8f85954fg8z9c0q0o2b0eft7w9q&from=cmi&uid=ST3160215A_9RX2M81QXXXX9RX2M81Q
S2 globalUpdate; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-07-11] (globalUpdate) [File not signed] <==== ATTENTION
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-07-11] (globalUpdate) [File not signed] <==== ATTENTION
R2 IHProtect Service; C:\Program Files\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system)
R2 kezulyby; C:\Users\стас\AppData\Roaming\A2365B40-1436279669-11DF-9AEA-20CF303E7E31\knsy5685.tmp [287744 2015-07-11] () [File not signed]
2015-07-11 19:13 - 2015-07-11 19:13 - 00000000 ____D C:\Users\стас\AppData\Local\rec_ru_45
2015-07-11 19:13 - 2015-07-11 19:13 - 00000000 ____D C:\Program Files\rec_ru_45
2015-07-11 16:14 - 2015-07-11 16:34 - 00000366 _____ C:\Windows\Tasks\APSnotifierPP1.job
2015-07-11 16:14 - 2015-07-11 16:14 - 00000364 _____ C:\Windows\Tasks\APSnotifierPP3.job
2015-07-11 16:14 - 2015-07-11 16:14 - 00000364 _____ C:\Windows\Tasks\APSnotifierPP2.job
2015-07-11 16:12 - 2015-07-11 16:12 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nse656C.tmp
2015-07-11 16:11 - 2015-07-11 19:11 - 00003114 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-6.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00005160 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-11.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00003114 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-7.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00002422 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5_user.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00002422 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00002088 _____ C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-10_user.job
2015-07-11 16:11 - 2015-07-11 16:11 - 00000000 ____D C:\Program Files\Shop and Save Up
2015-07-11 16:07 - 2015-07-11 19:13 - 00000000 ____D C:\Users\стас\AppData\Local\gmsd_ru_005010027
2015-07-11 16:07 - 2015-07-11 16:07 - 00000000 ____D C:\Program Files\gmsd_ru_005010027
2015-07-11 16:06 - 2015-07-11 16:06 - 00000348 _____ C:\Windows\Tasks\AmiUpdXp.job
2015-07-11 16:06 - 2015-07-11 16:06 - 00000000 ____D C:\Users\стас\AppData\Local\11184
2015-07-11 16:06 - 2015-07-11 16:06 - 00000000 ____D C:\Users\Все пользователи\13332167632047229302
2015-07-11 16:06 - 2015-07-11 16:06 - 00000000 ____D C:\ProgramData\13332167632047229302
2015-07-11 16:06 - 2015-07-11 16:06 - 00000000 ____D C:\Program Files\CouponsPlus
2015-07-11 16:05 - 2015-07-11 16:05 - 00000000 ____D C:\Users\Все пользователи\{f9ece083-1b8d-149d-f9ec-ce0831b8820c}
2015-07-11 16:05 - 2015-07-11 16:05 - 00000000 ____D C:\ProgramData\{f9ece083-1b8d-149d-f9ec-ce0831b8820c}
2015-07-09 23:21 - 2015-07-09 23:34 - 00000000 ____D C:\Program Files\GUPlayer
2015-07-09 23:13 - 2015-07-09 23:13 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nsm6F46.tmp
2015-07-09 21:52 - 2015-07-09 21:52 - 00000000 ____D C:\Program Files\MiuiTab
2015-07-09 20:29 - 2015-07-09 20:29 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nsnD93D.tmp
2015-07-09 20:28 - 2015-07-09 20:28 - 00000000 ____D C:\Users\стас\AppData\Local\globalUpdate
2015-07-09 20:08 - 2015-07-09 20:13 - 00000000 ____D C:\Users\стас\AppData\Roaming\Obnovi Soft
2015-07-08 21:14 - 2015-07-11 16:05 - 00000000 ____D C:\Users\стас\AppData\Local\SmartWeb
2015-07-08 20:18 - 2015-07-08 20:18 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nsbA46B.tmp
2015-07-07 21:45 - 2015-07-07 21:45 - 00000000 ____D C:\Users\стас\AppData\Roaming\mystartsearch
2015-07-07 20:53 - 2015-07-07 20:53 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nsz7747.tmp
2015-07-07 20:37 - 2015-07-07 20:37 - 00000000 ____D C:\Users\стас\SupTab
2015-07-07 20:20 - 2015-07-07 20:20 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nss7203.tmp
2015-07-07 20:19 - 2015-07-11 16:17 - 00000000 __SHD C:\Users\стас\AppData\Roaming\AnyProtectEx
2015-07-07 20:19 - 2015-07-07 20:19 - 00613255 _____ (CMI Limited) C:\Users\стас\AppData\Local\nss3D92.tmp
2015-07-07 20:08 - 2015-07-07 20:38 - 00000000 ____D C:\Program Files\version16SpeedCheck
2015-07-07 20:08 - 2015-07-07 20:08 - 00002340 _____ C:\Windows\patsearch.bin
2015-07-07 20:08 - 2015-07-07 20:08 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_webTinstMKTN84_01009.Wdf
2015-07-07 20:05 - 2015-07-11 15:14 - 00000000 ____D C:\Program Files\CiPlus-4.5vV07.07
2015-07-07 20:05 - 2015-07-07 20:05 - 00000000 ____D C:\Program Files\globalUpdate
2015-07-07 20:00 - 2015-07-11 15:13 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect
2015-07-07 20:00 - 2015-07-11 15:13 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-07-07 20:00 - 2015-07-07 20:00 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2015-07-07 20:00 - 2015-07-07 20:00 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-07-07 19:57 - 2015-07-11 19:57 - 00001042 _____ C:\Windows\Tasks\Crossbrowse.job
2015-07-07 19:57 - 2015-07-07 21:03 - 00000000 ____D C:\Users\стас\AppData\Local\Crossbrowse
2015-07-07 19:52 - 2015-06-03 00:35 - 00815304 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-07-07 19:36 - 2009-06-11 02:39 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-07 19:33 - 2015-07-07 21:11 - 00000000 ____D C:\Users\стас\AppData\Local\vsemposkidki
C:\Users\стас\AppData\Local\Temp\mytmpinstaller.exe
C:\Users\стас\AppData\Local\Temp\bedgefebca.exe
C:\Users\стас\AppData\Local\Temp\cfcabfibcdg.exe
C:\Users\стас\AppData\Local\Temp\Download.exe
C:\Users\стас\AppData\Local\Temp\fsd204C.exe
C:\Users\стас\AppData\Local\Temp\fsd8842.exe
C:\Users\стас\AppData\Local\Temp\fsdA19C.exe
C:\Users\стас\AppData\Local\Temp\fsdA350.exe
C:\Users\стас\AppData\Local\Temp\fsdDA96.exe
C:\Users\стас\AppData\Local\Temp\fsdF170.exe
Task: {0F6B20BE-CBDE-4996-A89C-96663300585C} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {1C5D8CCC-0459-47AD-8D8D-22EDA2D7EC64} - \Crossbrowse No Task File <==== ATTENTION
Task: {633CEF10-AC86-4D47-BAF9-33C261A91EF7} - System32\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-6 => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-6.exe [2015-07-11] (InstallMonetizer) <==== ATTENTION
Task: {7910A82D-2BE8-4228-BE2D-586E41460850} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\globalupdate.exe [2015-07-11] (globalUpdate) <==== ATTENTION
Task: {7ACD9C95-A46F-427D-AB0C-5F1E962AFD0F} - System32\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-11 => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-11.exe [2015-07-11] (InstallMonetizer) <==== ATTENTION
Task: {912F36FA-2EC5-4E67-A1D1-86BBF69618BF} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {93727D34-1811-4781-9634-C6EE4589FD04} - System32\Tasks\AmiUpdXp => C:\Users\стас\AppData\Local\11184\Updater.exe [2015-07-11] () <==== ATTENTION
Task: {BCB87480-C871-42F9-9033-7CAB34911F86} - System32\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-7 => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-7.exe [2015-07-11] (InstallMonetizer) <==== ATTENTION
Task: {C4318B54-CC8B-44CE-BC5A-B8C65F21D116} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {D3F73186-E68D-48EB-B649-9A6692478882} - System32\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5 => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5.exe [2015-07-11] (InstallMonetizer) <==== ATTENTION
Task: {D51F65C1-627B-4186-8249-3E7F1DE2E147} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\globalupdate.exe [2015-07-11] (globalUpdate) <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-6.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-7.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-10_user.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-11.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-11.exe <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5_user.job => C:\Program Files\Shop and Save Up\514985b0-bcb5-4a7a-b7c1-77c1f4ee2d35-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\стас\AppData\Local\11184\Updater.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
12.07.2015, 10:19
stason1988

пофиксил, после перезагрузки рекламы стало еще больше!
12.07.2015, 10:48
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
12.07.2015, 14:16
stason1988

проверку сделал! не могу прикрепить вложение, пишет что превышен предел! как удалить старые вложения?
12.07.2015, 14:28
thyrex

[quote="stason1988;1293664"]как удалить старые вложения?[/quote]Мой кабинет - Вложения
12.07.2015, 14:35
stason1988

О!спасаибо нашел! прикрепляю лог MBAM
13.07.2015, 02:32
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]RiskWare.Tool.CK, D:\Zona Downloads\Office_Professional\keygen.exe, , [7b66835d92f857dff5e320dba75a2dd3], [/CODE]
13.07.2015, 18:11
stason1988

А где теперь в MBAM найти все найденые угрозы?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В карантине пусто! а в журнале программы нет пункта удалить!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вообщем не дождался ответа! сделал снова выборочную проверку MBAM и после проверки сразу удалил все угрозы, кроме указанной выше! после перезагрузки компьютера AnyProtect и куча других программ исчезли, реклама в браузере не выскакивает! Может необходимо сделать какие-нибудь логи, чтобы проверить на остаток заразы?
13.07.2015, 19:35
thyrex

Удалите МВАМ.

На этом лечение окончено
13.07.2015, 19:52
stason1988

будем надеяться... Спасибо большое!
13.07.2015, 20:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]64[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\iexplore.bat - [B]not-a-virus:AdWare.BAT.Clicker.af[/B][*] c:\program files\ciplus-4.5vv07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-10.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files\ciplus-4.5vv07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-11.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Dv1@kyTI5OdO )[*] c:\program files\ciplus-4.5vv07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Hz1@kCQPVzji )[*] c:\program files\ciplus-4.5vv07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-1-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.cv1@kepLEkcO )[*] c:\program files\ciplus-4.5vv07.07\ec1d2b32-007f-4505-8d21-7b79e12a65db-5.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.mv1@k88bAbiO )[*] c:\program files\globalupdate\update\globalupdate.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dx[/B][*] c:\programdata\windowsmangerprotect\protectwindowsmanager.exe - [B]not-a-virus:AdWare.Win32.WProtManager.bj[/B][/LIST][/LIST]