Компьютер находится на последнем издыхании. Куча проблем с браузером, да и на самом компьютере постоянно вылазит реклама.Помогите пожалуйста. Очень нужна ваша помощь.
Printable View
Компьютер находится на последнем издыхании. Куча проблем с браузером, да и на самом компьютере постоянно вылазит реклама.Помогите пожалуйста. Очень нужна ваша помощь.
Уважаемый(ая) [B]Анна Мощенко[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
TerminateProcessByName('c:\programdata\6wdsmanpro6\wdsmanpro.exe');
TerminateProcessByName('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe');
TerminateProcessByName('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp');
StopService('lehicewu');
SetServiceStart('lehicewu', 4);
StopService('nydoxelo');
SetServiceStart('nydoxelo', 4);
StopService('wwsvc_1.10.0.24');
SetServiceStart('wwsvc_1.10.0.24', 4);
StopService('WdsManPro');
SetServiceStart('WdsManPro', 4);
StopService('gyvixodu');
SetServiceStart('gyvixodu', 4);
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe','');
QuarantineFile('C:\Users\1\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\1\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\istartsurf\UninstallManager.exe','');
QuarantineFile('c:\task.vbs','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\Updater.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-10.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.exe','');
QuarantineFile('C:\ProgramData\6WdsManPro6\WdsManPro.exe','');
QuarantineFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\hnsyA2F.tmp','');
QuarantineFile('c:\programdata\6wdsmanpro6\wdsmanpro.exe','');
QuarantineFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe','');
QuarantineFile('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp','');
DeleteService('gyvixodu');
DeleteService('wwsvc_1.10.0.24');
DeleteService('WdsManPro');
DeleteService('nydoxelo');
DeleteService('lehicewu');
DeleteFile('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp','32');
DeleteFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe','32');
DeleteFile('c:\programdata\6wdsmanpro6\wdsmanpro.exe','32');
DeleteFile('C:\windows\system32\drivers\wwfd_vt_1_10_0_24.sys','32');
DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\hnsyA2F.tmp','32');
DeleteFile('C:\ProgramData\6WdsManPro6\WdsManPro.exe','32');
DeleteFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe','32');
DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\jnstECCE.tmp','32');
DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\knsi36B2.tmp','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.job','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.job','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-10.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-10_user.job','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.job','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.job','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.exe','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.job','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5_user.job','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-6.job','32');
DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-7.job','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-10_user','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-11','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-3','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5_user','64');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-6','64');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-6.exe','32');
DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-7','64');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-7.exe','32');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\system32\Tasks\DealPly','64');
DeleteFile('C:\windows\system32\Tasks\runTask','64');
DeleteFile('C:\Users\1\AppData\Local\Temp\Updater.exe','32');
DeleteFile('C:\windows\system32\Tasks\updateTask','64');
DeleteFile('c:\task.vbs','32');
DeleteFile('C:\windows\system32\Tasks\{E066E766-90B7-4840-9412-696E11EF87DA}','64');
DeleteFile('C:\Users\1\AppData\Roaming\istartsurf\UninstallManager.exe','32');
DeleteFile('C:\Users\1\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\1\appdata\local\smartweb\__u.exe','32');
ExecuteWizard('SCU',2,2,true);
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Подготовьте лог AdwCleaner
[url]http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844[/url]
и приложите его в теме.
Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]
и приложите в теме.
Вкладываю 4 файла. Карантин не могу прикрепить. Пишет "Данный файл уже был отправлен". В чём может быть проблема?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
А это нормально, что карантин весит всего 1кб? Или я может что-то неправильно делаю?
Ну так что с карантином? Что мне делать?
Удалите все найденное в AdwCleaner.
Как удалить:
[url]http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864[/url]
Скачайте на рабочий стол эту [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту[/url].
Перетащите на нее мышью лог CheckBrowserLnk.log.
Проверьте что с проблемой.
Прикрепляю файлы. Жду дальнейших указаний.
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Эту процедуру повторите, пришлите лог ClearLNK
Вкладываю отчёт. Жду дальнейших указаний.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Прикрепляю отчёт. Жду дальнейшего.
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_005010088] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010089] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010091] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010087] => [X]
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3134572543-4135458238-2603948863-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> => No File
BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1443737756&z=ab37fc516e9541884f595d8g4zcz6c3m3c2mew1w7t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
CHR Extension: (Adblock Plus) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-10-13]
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx <not found>
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443737756&z=ab37fc516e9541884f595d8g4zcz6c3m3c2mew1w7t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443730977&z=0ad2b9059ac02c812f6e8c6g8z4zfc6m3ceecm3m8t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
Task: {324B14AF-2535-4EEB-B933-AC0AAFD72C53} - \updateTask -> No File <==== ATTENTION
Task: {45182837-3119-4B44-8203-E8F9DA7212AF} - \runTask -> No File <==== ATTENTION
Task: {9509F479-E80C-44EA-8284-AD78C2CE0B24} - \DealPly -> No File <==== ATTENTION
Task: {E01C1619-487E-41FB-A4DA-57C591634E4F} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2012-12-26] (AudioVkontakte.ru) <==== ATTENTION
Task: {E476072E-7415-42C4-97B0-DB6A61CEBD4A} - System32\Tasks\BitGuard => Sc.exe start BitGuard <==== ATTENTION
Task: {E68226F1-E3AA-4645-95BE-6B7AB5CE4A29} - \{E066E766-90B7-4840-9412-696E11EF87DA} -> No File <==== ATTENTION
Task: {FCC87BB4-88B9-4F4B-A4BA-3359401D4342} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe <==== ATTENTION
EmptyTemp:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Выкладываю. Жду.
Что с проблемой ?