Заражение вирусами Anyprotect, crossbrowse и др. [not-a-virus:AdWare.Win32.WProtManager.bw ]

Printable View

Показывать 40 сообщений этой темы на одной странице

02.10.2015, 10:46
Inesta

Заражение вирусами Anyprotect, crossbrowse и др. [not-a-virus:AdWare.Win32.WProtManager.bw ]

Здравствуйте!

Недавно начали сами по себе устанавливаться вредоносные программы - AnyProtect, Crossbrowse и другие.
Пробовал удалять через различные антивирусы - не помогло.
Нужна ваша помощь.
02.10.2015, 10:47
Info_bot

Уважаемый(ая) [B]Inesta[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.10.2015, 11:07
Inesta

Вложений: 1

Почему то при сканировании AB3 на ~50 процентах программа выключается и написано "Завершение программы AВЗ, программа не отвечает"
02.10.2015, 13:15
mrak74

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL] (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
O4 - HKLM\..\Run: [gmsd_ru_005010102] "C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe"
O4 - HKLM\..\RunOnce: [upgmsd_ru_005010102.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe -runonce
O4 - Startup: SmartWeb.lnk = ?
O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL');
DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe');
DelCLSID('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
DeleteFileMask('C:\Program Files (x86)\Zaxar','*',true);
DeleteDirectory('C:\Program Files (x86)\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
02.10.2015, 19:54
Inesta

Вложений: 2

Вот
05.10.2015, 10:16
mrak74

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs');
TerminateProcessByName('c:\programdata\uwdsmanprou\wdsmanpro.exe');
StopService('WdsManPro');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\luckysearches\UninstallManager.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\???????\AppData\Roaming\qLTzf6QrBClYnKCB8BXy1kbvH.exe ','');
QuarantineFile('C:\Users\???????\AppData\Roaming\olMxp1YqeKYFghwJ0DhEsS0y.exe','');
QuarantineFile('C:\Users\???????\AppData\Roaming\NdrXwccGPdEAB1rw.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-10.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.exe','');
QuarantineFile('C:\Users\???????\AppData\Roaming\Er0mtrrgH5nRxe.exe','');
QuarantineFile('C:\ProgramData\DNSErrorHelper\bho.dll','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Windows\system32\EasyAntiCheat.exe','');
QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe','');
QuarantineFile('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs','');
QuarantineFile('c:\programdata\uwdsmanprou\wdsmanpro.exe','');
DeleteFile('C:\Users\???????\AppData\Roaming\qLTzf6QrBClYnKCB8BXy1kbvH.exe ');
DeleteFile('C:\Users\???????\AppData\Roaming\olMxp1YqeKYFghwJ0DhEsS0y.exe');
DeleteFile('C:\Users\???????\AppData\Roaming\NdrXwccGPdEAB1rw.exe');
DeleteFile('C:\Users\???????\AppData\Roaming\Er0mtrrgH5nRxe.exe');
DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk');
DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk');
DeleteFile('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs','32');
DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe','32');
DeleteFile('C:\ProgramData\UWdsManProU\WdsManPro.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\2999d012-7131-417e-a6d6-1a4985734ab1.exe','32');
DeleteFile('C:\Windows\Tasks\2999d012-7131-417e-a6d6-1a4985734ab1.job','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
DeleteFile('C:\Windows\Tasks\Er0mtrrgH5nRxe.job','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.job','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-10.exe','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.exe','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-10_user.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.job','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.exe','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.exe','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.exe','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5_user.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.job','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.exe','32');
DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-10.exe','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-10_user.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-1-7.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-1-6.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.job','32');
DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.job','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-11.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-3.exe','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-3.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-11.job','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-4.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-5.exe','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5_user.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-4.job','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-7.exe','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-7.job','32');
DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-6.job','32');
DeleteFile('C:\Windows\Tasks\NdrXwccGPdEAB1rw.job','32');
DeleteFile('C:\Windows\Tasks\olMxp1YqeKYFghwJ0DhEsS0y.job','32');
DeleteFile('C:\Windows\Tasks\qLTzf6QrBClYnKCB8BXy1kbvH.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-6','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-4','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-3','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-11','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-7','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-6','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-4','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-3','64');
DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-11','64');
DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-7','64');
DeleteFile('C:\Users\Алексей\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\luckysearches\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{058428B0-AF9C-4943-819F-9C64D5E241FB}','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteService('innfd_1_10_0_14');
DeleteService('WdsManPro');
DeleteService('SSFK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserslnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
05.10.2015, 14:04
Inesta

Вложений: 3

Выслал
06.10.2015, 08:51
mrak74

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL] (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]O4 - HKLM\..\Run: [gmsd_ru_005010105] "C:\Program Files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe"
O4 - HKLM\..\RunOnce: [upgmsd_ru_005010105.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe -runonce[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe');
QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe','');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','32');
DeleteFile('C:\ProgramData\DNSErrorHelper\bho.dll','32');
DelBHO('{9B6B03F1-16CF-4491-BBBB-E872802DD717}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010105');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010105.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
06.10.2015, 19:44
Inesta

Вложений: 3

Вот
07.10.2015, 08:26
mrak74

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL] (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]O4 - HKLM\..\RunOnce: [upgmsd_ru_005010105.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe -runonce[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','');
DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010105.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
11.10.2015, 11:23
Inesta

Вложений: 2

Вот
12.10.2015, 08:21
mrak74

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]
12.10.2015, 17:53
Inesta

Не могу вложить, так как не хватает свободного места. Что делать?
13.10.2015, 08:38
mrak74

Выложите на файлообменник [url]http://rghost.ru/[/url], ссылку с результатом загрузки опубликуйте в следующем сообщении.
13.10.2015, 17:07
Inesta

[url]http://rghost.ru/7YXhqChFl[/url]
14.10.2015, 08:47
mrak74

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
delref D:\WOT\GAME_MANUAL.URL
delref %SystemDrive%\USERS\ПАПА МОЖЕТ\APPDATA\LOCAL\MAILRU\MAILRUUPDATER.EXE
delref D:\WOT\README.URL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref D:\WOT\WEBSITE.URL
delref D:\WOT\WIKI.URL
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1429806286&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8
delref HTTP=127.0.0.1:9881
delref %SystemDrive%\PROGRAM FILES (X86)\ADGUARD\ADGUARD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\NPUPLAYPC.DLL
delref %SystemDrive%\PROGRAMDATA\DNSERRORHELPER\BHO.DLL
delref {00000000-0000-0000-0000-000000000000}\[CLSID]
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1443800082&Z=185420E243429D21A518D2DGCZ1ZBC4M0T1T2TCZBM&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8
delref HTTP://WWW.ISTARTSURF.COM/NEWTAB/?TYPE=NT&TS=1443800082&Z=185420E243429D21A518D2DGCZ1ZBC4M0T1T2TCZBM&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAPBDBDOMJKKJKAONFHKKIKFGJLLCLEB\1.0.3\NETSECURITY
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\1.3_0\СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ (VK.COM)
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.9.3_0\ADBLOCK PLUS
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEGDFEIAHLFOLHCFIOIPJLKOMBMGBAKH\1.26.94_0\MYBROWSER 1.0.2V29.09
deltmp
delnfr
restart[/CODE]

+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
21.10.2015, 13:52
Inesta

Вложений: 2

Вот
21.10.2015, 14:24
mrak74

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]CreateRestorePoint:
CloseProcesses:
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://www.firetab.org/?type=ds3se&p={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> 4FA9A8C3CEE9D3FA3888BC5A9F4AE0AF URL = hxxp://1stserp.com/search.php?us=searcher&pcid=37376C8E-4C42-4407-A909-4F728B8FE76E&pid=80&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> 8A26A3394F37BD8D646747A4BA095224 URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms}
Toolbar: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
FF DefaultSearchEngine: istartsurf
FF SelectedSearchEngine: istartsurf
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-10-02]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\luckysearches.xml [2015-04-23]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystartsearch.xml [2015-10-02]
FF Extension: MyBrowser 1.0.2V29.09 - C:\Users\Алексей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-09-29] [not signed]
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8"
CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&q={searchTerms}
CHR DefaultSearchKeyword: Default -> istartsurf
CHR Extension: (Видеогет) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\mffaiffbfnpaalibenmemffgmppndafp [2014-09-19]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8
Task: {3F02473C-D610-4D03-B189-5683B9EB4B41} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {784FBA91-E9F7-4475-B5CB-27FB85B3CBC1} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {7B19B622-A994-4EA3-9BD2-F0AEBD522AF9} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {A261B443-2B96-440A-9792-F7ABC34D66DE} - \{907F6B81-8B3D-4746-8580-00806C98F58F} -> No File <==== ATTENTION
Task: {BBF92FEA-A4A7-4E09-8EA5-262F3C15EE0A} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {DEC7C542-8CFB-4A50-B771-F4B8FEB9B41B} - \{058428B0-AF9C-4943-819F-9C64D5E241FB} -> No File <==== ATTENTION
Task: {F7933E81-2665-45EB-AB8A-DD7613873CFB} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
EmptyTemp:
Reboot:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
21.10.2015, 15:14
Inesta

Вложений: 1

вот
21.10.2015, 15:32
mrak74

Что с проблемой ?

Показывать 40 сообщений этой темы на одной странице