Проверьте эти файлы на virustotal
Код:
C:\Program Files (x86)\Common Files\AppDownloads\6F485D65-E4F9-4874-8476-D00D8671A94E.exe
C:\Users\vaio\AppData\Local\Adobe\PPAPI\656512E3-1999-4735-B6E4-0E6CB9D219C5\77133DCC-D239-443C-9A4B-E3B1A64618FD.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
Код:
Java(TM) 6 Update 20 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416020FF}) (Version: 6.0.200 - Sun Microsystems, Inc.)
Java(TM) 6 Update 29 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216029F0}) (Version: 6.0.290 - Oracle)
Kometa (HKU\S-1-5-21-4083209978-3039637531-1332503042-1000\...\Kometa) (Version: 42.0.2311.135 - Kometa) эти программы деинсталируйте.
Код:
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-4083209978-3039637531-1332503042-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-4083209978-3039637531-1332503042-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-4083209978-3039637531-1332503042-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
Task: {02805AA2-093F-47C7-9E0F-D3BF4E2F7271} - \Kinoroom Browser -> No File <==== ATTENTION
Task: {46CFFA4C-3BAD-4B54-8879-510B0B17437D} - System32\Tasks\KRB Updater Utility => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
FirewallRules: [{833D81E8-1435-4891-97E7-3ACA84273446}] => (Allow) H:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [TCP Query User{3FAF2200-68CD-4C19-8C46-306304477F58}H:\iqiyi video\common\qykernel.exe] => (Block) H:\iqiyi video\common\qykernel.exe
FirewallRules: [UDP Query User{99AEF068-1196-413D-A77F-AE34BD85DFE0}H:\iqiyi video\common\qykernel.exe] => (Block) H:\iqiyi video\common\qykernel.exe
FirewallRules: [{7A6FFC2B-89EB-4F24-A743-8A900CDAB501}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{32101166-B503-46C3-8986-D92C322341EF}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [TCP Query User{D5C7E7D7-4E95-4A55-B0C5-F754634CD060}H:\iqiyi video\lstyle\qyclient.exe] => (Block) H:\iqiyi video\lstyle\qyclient.exe
FirewallRules: [UDP Query User{0C7D349B-3626-4BD7-A409-9390BAFD694B}H:\iqiyi video\lstyle\qyclient.exe] => (Block) H:\iqiyi video\lstyle\qyclient.exe
FirewallRules: [TCP Query User{CC3BDD6B-8A1A-4D6B-9F19-9EC3FCBB86C8}H:\iqiyi video\common\hcdnclient.exe] => (Block) H:\iqiyi video\common\hcdnclient.exe
FirewallRules: [UDP Query User{F3758496-8C7D-4EB2-96D7-262AA8F1B143}H:\iqiyi video\common\hcdnclient.exe] => (Block) H:\iqiyi video\common\hcdnclient.exe
FirewallRules: [{26B9F01D-69BE-46C5-9745-2A1D27CCA2EA}] => (Allow) C:\Users\vaio\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{B14F1EA5-DCEE-42F9-A6F5-558AD2147D9A}] => (Allow) H:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{82A66E96-71C0-4A91-800C-AA76311647B9}] => (Allow) H:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{1F2E3B93-1E2B-48DF-89AD-8AE4A62A8AF3}] => (Allow) H:\IQIYI Video\LStyle\GeePlayer.exe
FirewallRules: [{2BAF90BF-442D-4B11-ABC5-48DDCDE13DD2}] => (Allow) H:\IQIYI Video\Common\HCDNClient.exe
FirewallRules: [{FF4EC2BA-D563-49B5-B3C0-0B2CA0C9BFD1}] => (Allow) H:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{08E13B05-3EBB-4D2D-BF02-94277068126A}] => (Allow) H:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [TCP Query User{1147A73D-50B1-4ABA-8302-273C37DBB85D}H:\iqiyi video\lstyle\mobprotect.exe] => (Block) H:\iqiyi video\lstyle\mobprotect.exe
FirewallRules: [UDP Query User{19ABAAC1-A7E2-4106-8C1A-0648BA37FFAC}H:\iqiyi video\lstyle\mobprotect.exe] => (Block) H:\iqiyi video\lstyle\mobprotect.exe
FirewallRules: [{F35C892C-71BB-413F-BC26-70CDA609DFF2}] => (Allow) C:\Users\vaio\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{A1E1BB6F-6915-404A-BC70-2823D55B8ECE}] => (Allow) H:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{DD261C49-015A-42FC-9B10-BCBA2065EBF8}] => (Allow) H:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{1DCF4CE5-E968-4258-8F8D-588DC0CA19BE}] => (Allow) H:\IQIYI Video\LStyle\GeePlayer.exe
FirewallRules: [{AA5C1C41-2C61-40B5-995E-3F8E775246F5}] => (Allow) H:\IQIYI Video\Common\HCDNClient.exe
FirewallRules: [{CDD02C3B-BEAA-47EE-9E8C-8679B29D2960}] => (Allow) H:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{6DB46524-CB24-4E89-9908-2E428C96CABD}] => (Allow) H:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [TCP Query User{B457B088-96FA-411F-BFBA-56F43DA7003E}C:\users\vaio\appdata\local\temp\rar$exa0.534\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.534\spintires.exe
FirewallRules: [UDP Query User{EF25C156-6C85-4722-98C1-189B5BAE9C2D}C:\users\vaio\appdata\local\temp\rar$exa0.534\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.534\spintires.exe
FirewallRules: [TCP Query User{F4CC21EE-BA8C-46C8-8C64-1ADFA4042C08}C:\users\vaio\appdata\local\temp\rar$exa0.873\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.873\spintires.exe
FirewallRules: [UDP Query User{31E7532C-F0CE-41A5-8542-65E90F6AC72D}C:\users\vaio\appdata\local\temp\rar$exa0.873\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.873\spintires.exe
FirewallRules: [TCP Query User{8E8FF7F1-3902-45B8-80DE-F32F3C7FBD61}C:\users\vaio\appdata\local\temp\rar$exa0.434\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.434\spintires.exe
FirewallRules: [UDP Query User{5C071EFA-0080-4771-B8F7-8FED0D824FFB}C:\users\vaio\appdata\local\temp\rar$exa0.434\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.434\spintires.exe
FirewallRules: [TCP Query User{6EB05570-C228-43D7-BD7E-AB2B76C5421E}C:\users\vaio\appdata\local\temp\rar$exa0.676\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.676\spintires.exe
FirewallRules: [UDP Query User{A97E347D-0DC4-4DFD-A682-2AD917F70900}C:\users\vaio\appdata\local\temp\rar$exa0.676\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.676\spintires.exe
FirewallRules: [TCP Query User{ECC38167-E2F9-49E1-A07E-F156E75EC666}C:\users\vaio\appdata\local\temp\rar$exa0.985\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.985\spintires.exe
FirewallRules: [UDP Query User{C42448BA-E86B-49A3-9BB8-BCC8B2949677}C:\users\vaio\appdata\local\temp\rar$exa0.985\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.985\spintires.exe
FirewallRules: [TCP Query User{672A649F-CEC4-47A2-B99A-3B5D1C1681BE}C:\users\vaio\appdata\local\temp\rar$exa0.946\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.946\spintires.exe
FirewallRules: [UDP Query User{CCCE3FB1-9F95-49FF-B1CF-B35D948533C9}C:\users\vaio\appdata\local\temp\rar$exa0.946\spintires.exe] => (Block) C:\users\vaio\appdata\local\temp\rar$exa0.946\spintires.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Homepage: hxxp://vremenu.ru/?utm_source=startpage03&utm_content=d8e5353c5ef4f0023fe6effc26a85bea&utm_term=35BD4B0544F3FD45ADDD49E1C12270F9
CHR Extension: (Coupon4u) - C:\Users\vaio\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccogepdpdnpcoblidpcjgmdcafinijg [2015-05-09]
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\vaio\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-07-22]
OPR Extension: (Quick Searcher) - C:\Users\vaio\AppData\Roaming\Opera Software\Opera Stable\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-07-24]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод ! Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
63
Двух файлов exe, перечисленных в начале, на компьютере нет (даже в скрытых).
Сообщение от
celtic
Приложения от Mail и Yandex сам не устанавливал, но они могли быть установлены предыдущим владельцем ноута.
я так понимаю они вам не нужны?
Junior Member
Вес репутации
63
Лог сделал, но приложить не получается - превышен предел на форуме. Подскажите, как можно ещё приложить его?
Junior Member
Вес репутации
63
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {F87FC0E1-7B3B-4351-AD88-83156650DCA5} - System32\Tasks\Microsoft\Windows\656512E3-1999-4735-B6E4-0E6CB9D219C5 => C:\Users\vaio\AppData\Local\Adobe\PPAPI\656512E3-1999-4735-B6E4-0E6CB9D219C5\77133DCC-D239-443C-9A4B-E3B1A64618FD.exe <==== ATTENTION
Task: {7B3AC6C2-FDC9-48B2-9AEF-EDA21A9C4F9B} - System32\Tasks\Microsoft\Windows\6F485D65-E4F9-4874-8476-D00D8671A94E => C:\Program Files (x86)\Common Files\AppDownloads\6F485D65-E4F9-4874-8476-D00D8671A94E.exe <==== ATTENTION
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: Домашняя страница Mail.Ru - C:\Users\vaio\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-11-26]
FF Extension: Спутник @Mail.Ru - C:\Users\vaio\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2012-05-23] [not signed]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод ! Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Junior Member
Вес репутации
63
Не даёт сохранять файлы из блокнота с любыми названиями в любых местах. При нажатии на Сохранить ничего не происходит.
Junior Member
Вес репутации
63
Проблема вроде ушла.
Удалите папку C:\FRST со всем содержимым.
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Советы и рекомендации после лечения компьютера
Итог лечения
Статистика проведенного лечения:Получено карантинов: 2 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы: c:\programdata\microsoft\windows\start menu\programs\google chrome\gооglе chrоmе.lnk - HEUR:Trojan.WinLNK.StartPage.genc c:\users\vaio\appdata\roaming\microsoft\windows\st art menu\programs\yandex\yаndеx.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Сообщение от celtic
