Установил вирус под видом какой то программы! сейчас в хроме устанавливается стартовая страница и поиск разных названий. устанавливаются какие то непонятные программы. в фоновых процессах постоянно какие то процессы непонятые. вообщем одно расстройство. пожалуйста помогите
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) maksimkobelev, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe'); TerminateProcessByName('c:\program files (x86)\explorer\iedvutils.exe'); TerminateProcessByName('c:\users\Кобелевы\appdata\roaming\kyubey\kyubey.exe'); TerminateProcessByName('c:\users\Кобелевы\appdata\roaming\clean\kyubey.exe'); StopService('clean'); StopService('FirefoxU'); StopService('iedvutils'); StopService('iThemes5'); StopService('Kyubey'); StopService('mwescontroller'); QuarantineFileF('c:\program files (x86)\firefox', '*.exe', true, '', 0 , 0); QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', ''); QuarantineFile('c:\program files (x86)\explorer\iedvutils.exe', ''); QuarantineFile('C:\Program Files (x86)\Explorer\iedvtoolex.dll', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', ''); QuarantineFile('c:\programdata\apple computer\itunes\ipoddevices.dll', ''); QuarantineFile('c:\programdata\microsoft\appv\setup\integrator.dll', ''); QuarantineFile('c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddoflangver.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Roaming\clean\kyubey.exe', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Roaming\Kyubey\Kyubey.exe', ''); QuarantineFile('C:\Program Files (x86)\amuleCexx\ed2k.exe', ''); QuarantineFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe', ''); QuarantineFile('C:\Program Files (x86)\35E08C22-1482171175-8747-BD52-382C4A54F42E\knsAA2A.tmp', ''); QuarantineFile('C:\WINDOWS\system32\drivers\mwescontroller.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\nnkqljbj.sys', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\background_fault\aswRD.exe', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\background_fault\bf.dll', ''); QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\CWASRE\Snare.dll', ''); QuarantineFile('C:\Program Files (x86)\Gubed\GubedZL.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\NPASRE\Snare.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\SNARE\Snarer.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\SNARER\Snarer.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\VNASRE\Snare.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Local\WANARE\Snare.dll', ''); QuarantineFile('C:\Users\Кобелевы\AppData\Roaming\WINSNARE\WinSnare.dll', ''); QuarantineFile('C:\Program Files (x86)\IObit\Driver', ''); QuarantineFile('"C:\Program Files (x86)\MIO\MIO.exe" -bindurl http://api.suibianmaimaicom.com/hgstxhts545050a7e680_tma51dtfg4ye8pg4ye8px.dat cmd=', ''); QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe', ''); DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', '32'); DeleteFile('c:\program files (x86)\explorer\iedvutils.exe', '32'); DeleteFile('C:\Program Files (x86)\Explorer\iedvtoolex.dll', '32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '32'); DeleteFile('c:\programdata\apple computer\itunes\ipoddevices.dll', '32'); DeleteFile('c:\programdata\microsoft\appv\setup\integrator.dll', '32'); DeleteFile('c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddoflangver.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Roaming\clean\kyubey.exe', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Roaming\Kyubey\Kyubey.exe', '32'); DeleteFile('C:\Program Files (x86)\amuleCexx\ed2k.exe', '32'); DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe', '32'); DeleteFile('C:\Program Files (x86)\35E08C22-1482171175-8747-BD52-382C4A54F42E\knsAA2A.tmp', '32'); DeleteFile('C:\WINDOWS\system32\drivers\mwescontroller.sys', '32'); DeleteFile('C:\WINDOWS\system32\drivers\nnkqljbj.sys', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\background_fault\aswRD.exe', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\background_fault\bf.dll', '32'); DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\CWASRE\Snare.dll', '32'); DeleteFile('C:\Program Files (x86)\Gubed\GubedZL.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\NPASRE\Snare.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\SNARE\Snarer.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\SNARER\Snarer.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\VNASRE\Snare.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\WANARE\Snare.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Roaming\WINSNARE\WinSnare.dll', '32'); DeleteFile('C:\Program Files (x86)\IObit\Driver', '32'); DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32'); DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe', '32'); DeleteService('clean'); DeleteService('FirefoxU'); DeleteService('iedvutils'); DeleteService('iThemes5'); DeleteService('Kyubey'); DeleteService('ed2kidle'); DeleteService('LiveUpdateSvc'); DeleteService('vigosuvi'); DeleteService('mwescontroller'); DeleteService('nnkqljbj'); DeleteFileMask('c:\program files (x86)\firefox', '*', true); DeleteFileMask('c:\program files (x86)\explorer', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\roaming\kyubey', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\roaming\clean', '*', true); DeleteFileMask('c:\program files (x86)\common files\services', '*', true); DeleteFileMask('c:\programdata\microsoft\phone tools\corecon', '*', false); DeleteFileMask('c:\program files (x86)\amulecexx', '*', true); DeleteFileMask('c:\program files (x86)\iobit', '*', true); DeleteFileMask('c:\program files (x86)\35e08c22-1482171175-8747-bd52-382c4a54f42e', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\mail.ru', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\background_fault', '*', true); DeleteFileMask('c:\program files (x86)\winarcher', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\cwasre', '*', true); DeleteFileMask('c:\program files (x86)\gubed', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\npasre', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\snare', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\snarer', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\vnasre', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\wanare', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\roaming\winsnare', '*', true); DeleteFileMask('"c:\program files (x86)\mio', '*', true); DeleteFileMask('c:\programdata\wintools', '*', true); DeleteDirectory('c:\program files (x86)\firefox'); DeleteDirectory('c:\program files (x86)\explorer'); DeleteDirectory('c:\users\кобелевы\appdata\roaming\kyubey'); DeleteDirectory('c:\users\кобелевы\appdata\roaming\clean'); DeleteDirectory('c:\program files (x86)\common files\services'); DeleteDirectory('c:\programdata\microsoft\phone tools\corecon'); DeleteDirectory('c:\program files (x86)\amulecexx'); DeleteDirectory('c:\program files (x86)\iobit'); DeleteDirectory('c:\program files (x86)\35e08c22-1482171175-8747-bd52-382c4a54f42e'); DeleteDirectory('c:\users\кобелевы\appdata\local\mail.ru'); DeleteDirectory('c:\users\кобелевы\appdata\local\background_fault'); DeleteDirectory('c:\program files (x86)\winarcher'); DeleteDirectory('c:\users\кобелевы\appdata\local\cwasre'); DeleteDirectory('c:\program files (x86)\gubed'); DeleteDirectory('c:\users\кобелевы\appdata\local\npasre'); DeleteDirectory('c:\users\кобелевы\appdata\local\snare'); DeleteDirectory('c:\users\кобелевы\appdata\local\snarer'); DeleteDirectory('c:\users\кобелевы\appdata\local\vnasre'); DeleteDirectory('c:\users\кобелевы\appdata\local\wanare'); DeleteDirectory('c:\users\кобелевы\appdata\roaming\winsnare'); DeleteDirectory('"c:\program files (x86)\mio'); DeleteDirectory('c:\programdata\wintools'); ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Кобелевы)" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'background_fault'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\APPLE_svr\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Archer\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\CWASRE\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\GubedZL\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MSLN\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\NPASRE\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARER\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\VNASRE\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WANARE\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinInstallSvc\Parameters', 'ServiceDll'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
WBR,
Vadim
прикладываю логи
Выполните в AVZ скрипт:После перезагрузки файл quarantine.zip отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin ClearQuarantine; TerminateProcessByName('c:\users\Кобелевы\appdata\roaming\difx\dpinst.exe'); QuarantineFile('C:\Users\Кобелевы\AppData\Roaming\DIFX\MSVFW32.dll', ''); QuarantineFile('c:\users\Кобелевы\appdata\roaming\difx\dpinst.exe', ''); DeleteFile('c:\users\Кобелевы\appdata\roaming\difx\dpinst.exe', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Roaming\DIFX\MSVFW32.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32'); DeleteFile('C:\Users\Кобелевы\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk'); DeleteFile('C:\Users\Кобелевы\Desktop\BigFarm.lnk'); DeleteFile('C:\Users\Кобелевы\Desktop\big_bang_empire.lnk'); DeleteFileMask('c:\users\кобелевы\appdata\roaming\difx', '*', true); DeleteFileMask('c:\users\кобелевы\appdata\local\mail.ru', '*', true); DeleteDirectory('c:\users\кобелевы\appdata\roaming\difx'); DeleteDirectory('c:\users\кобелевы\appdata\local\mail.ru'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(false); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
отчеты
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:Сохраните (Ctrl+S) и закройте.Код:CreateRestorePoint: AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => No File ShellExecuteHooks: No Name - {66354486-B00F-11E6-A664-64006A5CFC23} - C:\Users\Кобелевы\AppData\Roaming\Coernch\Qaeckghimo.dll -> No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491932549&z=51295c7c01dbcd1f330046cg6zftcg0t5c5o5w7waz&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491932549&z=51295c7c01dbcd1f330046cg6zftcg0t5c5o5w7waz&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491932549&z=51295c7c01dbcd1f330046cg6zftcg0t5c5o5w7waz&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491932549&z=51295c7c01dbcd1f330046cg6zftcg0t5c5o5w7waz&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} HKU\S-1-5-21-3035210254-612915294-43330037-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487768304&z=055b9e726af00a341853e9bgbzeb0m8m2qcbdc5e1m&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} HKU\S-1-5-21-3035210254-612915294-43330037-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=822358 HKU\S-1-5-21-3035210254-612915294-43330037-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKU\S-1-5-21-3035210254-612915294-43330037-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487768304&z=055b9e726af00a341853e9bgbzeb0m8m2qcbdc5e1m&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3035210254-612915294-43330037-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDCD238C2-C685-4171-B689-EDD2070CCB26%7D&gp=822368 SearchScopes: HKU\S-1-5-21-3035210254-612915294-43330037-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3035210254-612915294-43330037-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3035210254-612915294-43330037-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDCD238C2-C685-4171-B689-EDD2070CCB26%7D&gp=822368 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488549892&z=65f7b035ca8885042cca056g3zfb2b8wbzbt4bbt2m&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BAEBCB17C-09B8-4DA8-AA48-57C6939CBBAD%7D&gp=822368 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Кобелевы\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-09] FF Extension: (Поиск@Mail.Ru) - C:\Users\Кобелевы\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-09] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Кобелевы\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-09] FF SearchPlugin: C:\Users\Кобелевы\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-05-09] CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=822358","hxxp://www.ourluckysites.com/?type=hp&ts=1491932549&z=51295c7c01dbcd1f330046cg6zftcg0t5c5o5w7waz&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX" CHR NewTab: ChromeDefaultData -> Active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html" CHR DefaultSearchURL: ChromeDefaultData -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BA1585B8D-8F77-4C79-8167-DA7D75512B48%7D&gp=822368 CHR DefaultSearchKeyword: ChromeDefaultData -> mail.ru CHR DefaultSuggestURL: ChromeDefaultData -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Profile: C:\Users\Кобелевы\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-05-15] <==== ATTENTION CHR Extension: (Mail.Ru) - C:\Users\Кобелевы\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-09] CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Кобелевы\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-09] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Кобелевы\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-05-09] CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494322388&z=736e0264a137032c2fd74a2g6z3t5z0cfobobcctfg&from=che0812&uid=HGSTXHTS545050A7E680_TMA51DTFG4YE8PG4YE8PX HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) <==== ATTENTION HKU\S-1-5-21-3035210254-612915294-43330037-1002\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) <==== ATTENTION HKU\S-1-5-18\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) <==== ATTENTION S2 APPLE_svr; C:\WINDOWS\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 APPLE_svr; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 Archer; C:\WINDOWS\SysWoW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 bilibili; C:\WINDOWS\SysWoW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 BIT; C:\windows\system32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 BIT; C:\windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 CWASRE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 CWASRE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 GubedZL; C:\WINDOWS\SysWoW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 NPASRE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 NPASRE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 SNARE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 SNARE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 SNARER; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 SNARER; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 VNASRE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 VNASRE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 WANARE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 WANARE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 WinInstallSvc; C:\WINDOWS\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 WinInstallSvc; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 WinSAPSvc; C:\windows\system32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S2 WINSNARE; C:\Windows\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) S2 WINSNARE; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) S3 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 Viechplzagh; C:\Program Files (x86)\Dracoentghocage\atrcr.dll [X] 2017-05-11 18:48 - 2017-05-11 18:48 - 00000000 ____D C:\Users\Кобелевы\AppData\Roaming\Bookness 2017-05-11 18:47 - 2017-05-11 18:47 - 00000000 ____D C:\Users\Кобелевы\AppData\Local\Bookness 2017-05-11 12:39 - 2017-05-11 18:23 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333 2017-05-11 12:39 - 2017-05-11 18:22 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111 2017-05-11 12:38 - 2017-05-15 20:09 - 00000000 _____ C:\WINDOWS\SysWOW64\22 2017-05-11 12:38 - 2017-05-15 20:09 - 00000000 _____ C:\WINDOWS\SysWOW64\00 2017-05-09 16:18 - 2017-05-12 12:43 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-09 12:50 - 2017-05-09 12:52 - 00000000 ____D C:\Users\Public\Documents\temp 2017-05-09 12:50 - 2017-05-09 12:50 - 00000000 ____D C:\Users\Public\Documents\Google 2017-05-09 12:50 - 2017-05-09 12:50 - 00000000 ____D C:\Users\Public\Documents\chrome 2017-05-09 12:50 - 2017-05-09 12:50 - 00000000 ____D C:\Program Files (x86)\Bookness 2017-05-09 12:33 - 2017-05-21 13:18 - 00000000 ____D C:\Users\Кобелевы\AppData\Local\VNASRE 2017-05-09 12:33 - 2017-05-09 12:33 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-05-09 12:32 - 2017-05-15 20:09 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-05-09 12:32 - 2017-05-15 19:31 - 00000000 ____D C:\Users\Все пользователи\BIT 2017-05-05 22:35 - 2017-05-21 13:18 - 00000000 ____D C:\Users\Кобелевы\AppData\Local\WANARE 2017-04-24 20:39 - 2017-04-24 20:39 - 00000003 _____ C:\WINDOWS\SysWOW64\f_z 2017-05-21 13:10 - 2017-02-13 16:25 - 00000000 ____D C:\Program Files (x86)\MIO HKU\S-1-5-21-3035210254-612915294-43330037-1002\...\ChromeHTML: -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) <==== ATTENTION Task: {03715917-99FD-4467-AC75-0EF925B3B244} - \Soft installer -> No File <==== ATTENTION Task: {09B75805-FDA9-496C-9068-D3D987720111} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {0E8AD551-090E-4A8A-8F6B-C986EE57BEC5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {194DD452-270E-44CD-902A-91B71277AA6B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {5381E11E-9A9E-40E5-AF00-633A24E10A2B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {5FB3427D-C410-4171-B4C6-DD2C0D05628C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION Task: {7901EE77-E4A8-4396-8E8D-0B75F7B1577B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {7AD10D98-D975-4AD2-A2E7-890B2534E258} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {844BB135-6B36-46E0-BAB6-A919FFA1E364} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {B5695D55-70E3-4A43-B3D6-23CEE1079D2B} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {B71542F5-76BC-4F24-A13E-FE2CC847BD8E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {C645F560-7168-49CE-AA41-503D91DE8AD4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {EB82CA27-185A-46A2-BE11-10BD41137E46} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {F358FD12-7B5F-4232-B36D-91AB077A7632} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F6B74D47-1D97-4BC3-9A8B-91B83D0D152E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Shortcut: C:\Users\Кобелевы\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Кобелевы\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Кобелевы\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2bd54c540f4cfc8b\Google Chrome.lnk -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-3035210254-612915294-43330037-1002\...\StartupApproved\Run: => "Browser Manager" HKU\S-1-5-21-3035210254-612915294-43330037-1002\...\StartupApproved\Run: => "svchost0" KU\S-1-5-21-3035210254-612915294-43330037-1002\...\StartupApproved\Run: => "background_fault" HKU\S-1-5-21-3035210254-612915294-43330037-1002\...\StartupApproved\Run: => "mailruhomesearch" FirewallRules: [{E621D33B-0A03-4349-8F30-2E3FA044269E}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F1D26BD0-7331-4AE2-BFC7-90F183A4BDAD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{67C6E4A5-84F6-4F2B-8BE7-49A7C2C44765}] => (Allow) C:\Program Files (x86)\Bookness\Application\chrome.exe FirewallRules: [{B06D3EB7-0FD3-430F-9A5F-F927F2F096CE}] => (Allow) C:\Program Files (x86)\MIO\loader\hgstxhts545050a7e680_tma51dtfg4ye8pg4ye8px.dat FirewallRules: [{31DCCEAE-D69D-478A-8076-9EE725861D9C}] => (Allow) C:\Program Files (x86)\MIO\loader\hgstxhts545050a7e680_tma51dtfg4ye8pg4ye8px.dat Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\mweshield" /f Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
cookies почистил
Результаты готовы сказать?Сообщение от Vvvyg
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.bgj
- c:\program files (x86)\explorer\iedvtoolex.dll - not-a-virus:AdWare.Win32.ELEX.bja
- c:\programdata\apple computer\itunes\ipoddevices.dll - not-a-virus:AdWare.Win32.ELEX.avv
- c:\programdata\microsoft\appv\setup\integrator.dll - not-a-virus:AdWare.Win32.ELEX.bpb
- c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddoflangver.dll - not-a-virus:AdWare.Win32.ELEX.bbk
- c:\programdata\wintools\wintoolupri.exe - not-a-virus:AdWare.Win32.ELEX.bjc
- c:\users\кобелевы\appdata\local\npasre\snare.dll - Trojan.Win64.Snara.a
- c:\users\кобелевы\appdata\local\snarer\snarer.dll - Trojan.Win64.Snara.l
- c:\users\кобелевы\appdata\local\snare\snarer.dll - Trojan.Win64.Snara.k
- c:\users\кобелевы\appdata\local\vnasre\snare.dll - Trojan.Win64.Snara.f
- c:\users\кобелевы\appdata\local\wanare\snare.dll - Trojan.Win64.Snara.g
- c:\users\кобелевы\appdata\roaming\clean\kyubey.exe - Trojan-Downloader.Win32.Eroyee.n
- c:\users\кобелевы\appdata\roaming\difx\msvfw32.dll - Trojan-Spy.Win32.Agent.jktx
- c:\users\кобелевы\appdata\roaming\kyubey\kyubey.ex e - not-a-virus:RiskTool.Win32.Agent.anqw
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) maksimkobelev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
