Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CloseProcesses:
CMD powershell -command enable-computerrestore -drive \"C:\\\"
CreateRestorePoint:
HKLM\...\Run: [cpuminer] => G:\Users\Пётр\AppData\Roaming\cpuminer\cpm.exe
HKLM-x32\...\Run: [LightGate] => g:\programdata\lightgate.exe [1081344 2015-12-04] ()
HKLM-x32\...\Run: [HomePageHelper] => g:\programdata\homepage.exe [1100288 2015-11-26] ()
HKU\S-1-5-21-1572076023-3796835416-1080380762-1000\...\Run: [Yeaplayer] => G:\Program Files (x86)\Yeaplayer\Yeaplayermd.exe /autostart
Tcpip\..\Interfaces\{0771f374-03da-4cb1-87c9-496674e93095}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{238e2fa0-f761-11e5-aaee-806e6f6e6963}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{686012c8-afaa-4722-8ef9-286580555249}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{78aa4c02-d21d-11e5-aaeb-806e6f6e6963}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{8add996d-71e7-4883-a09e-27e36d50f370}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{b89f38c1-c65a-46cd-b752-bca61d753100}: [NameServer] 104.197.191.4
SearchScopes: HKU\S-1-5-21-1572076023-3796835416-1080380762-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7933D2C8-F903-494F-83AF-2268586B0932%7D&gp=821273
BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File
CHR StartupUrls: Default -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=ftp&uid=E3D04AC16FC2F3EA6D54B92A30785873&v=20160405&ts=AHEpCHYpBXMnBU.."
CHR DefaultSearchURL: Default -> hxxp://www.hohosearch.com/chrome.php?q={searchTerms}&ts=AHEpCHYpBXMnBU..&v=20160405&uid=E3D04AC16FC2F3EA6D54B92A30785873&ptid=ftp&mode=nnnb
CHR DefaultSearchKeyword: Default -> hohosearch
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SaveYouTime) - G:\Users\Пётр\AppData\Roaming\Opera Software\Opera Stable\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-04-01]
S4 tipucikozbt; G:\Program Files (x86)\32444335-1459955932-4B35-564B-80C16E54527D\knse3B3E.tmp [368640 2016-04-09] () [File not signed]
S4 rocufyky; G:\Program Files (x86)\32444335-1459955932-4B35-564B-80C16E54527D\jnsg528.tmp [389632 2016-04-06] () [File not signed]
S4 Winsere; G:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316400 2016-04-06] ()
S4 AdvancedSystemCareService8; G:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCService.exe [X]
S2 Cabsup; "G:\Users\Пётр\AppData\Roaming\MidjaDubny\Aporm.exe" -cms [X]
S2 ggbugreport; "G:\Program Files (x86)\SearchesToYesbnd_\bugreport.exe" {154DFF63-3402-4815-941A-AAD63AE8B428} [X]
R1 cherimoya; G:\Windows\System32\drivers\cherimoya.sys [65856 2016-04-08] (Windows (R) Win 7 DDK provider)
R1 UCGuard; G:\Windows\System32\DRIVERS\ucguard.sys [89840 2016-03-08] (Huorong Borui (Beijing) Technology Co., Ltd.)
R1 bsdriver; G:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-08] ()
2016-04-09 04:06 - 2016-04-09 05:22 - 00000000 ____D G:\Users\Пётр\AppData\Local\32444335-1460174772-4B35-564B-80C16E54527D
2016-04-09 04:05 - 2016-04-09 04:05 - 00016815 _____ G:\Users\Все пользователи\webad.xml
2016-04-09 04:05 - 2016-04-09 04:05 - 00016815 _____ G:\ProgramData\webad.xml
2016-04-09 03:28 - 2016-04-09 04:25 - 00000000 ____D G:\ProgramData\WindowsMsg
2016-04-09 03:28 - 2016-04-09 04:03 - 00000000 ____D G:\Users\Пётр\AppData\Roaming\LightGate
2016-04-09 03:28 - 2016-04-09 03:28 - 00001785 ____R G:\Users\Пётр\Desktop\Yeabeats Browser.lnk
2016-04-09 03:28 - 2016-04-09 03:28 - 00001107 _____ G:\Users\Public\Desktop\Yeaplayer.lnk
2016-04-09 03:28 - 2016-04-09 03:28 - 00000000 ____D G:\Users\Пётр\AppData\Local\Yeaplayer
2016-04-09 03:28 - 2016-04-09 03:28 - 00000000 ____D G:\Users\Все пользователи\Windows Update
2016-04-09 03:28 - 2016-04-09 03:28 - 00000000 ____D G:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yeaplayer
2016-04-09 03:28 - 2015-12-04 22:14 - 01081344 _____ G:\Users\Все пользователи\LightGate.exe
2016-04-09 03:28 - 2015-12-04 22:14 - 01081344 _____ G:\ProgramData\LightGate.exe
2016-04-09 03:28 - 2015-11-26 00:31 - 01100288 _____ G:\Users\Все пользователи\HomePage.exe
2016-04-09 03:28 - 2015-11-26 00:31 - 01100288 _____ G:\ProgramData\HomePage.exe
2016-04-09 03:27 - 2016-04-09 08:31 - 00000000 ____D G:\Users\Пётр\AppData\Roaming\UPUpdata
2016-04-08 09:56 - 2016-04-08 09:56 - 00000000 ____D G:\WINDOWS\system32\ybo
2016-04-08 09:53 - 2016-04-08 09:53 - 00034720 _____ () G:\WINDOWS\system32\Drivers\bsdriver.sys
2016-04-08 09:53 - 2016-04-08 09:53 - 00003400 _____ G:\WINDOWS\System32\Tasks\Nowtefd
2016-04-08 09:52 - 2016-04-09 04:25 - 00000000 ____D G:\Users\Пётр\AppData\Roaming\Hihlotuyp
2016-04-08 09:52 - 2016-04-08 09:53 - 00000000 ____D G:\Users\Пётр\AppData\Local\Tempfolder
2016-04-08 09:52 - 2016-04-08 09:52 - 00000000 ____D G:\Users\Пётр\AppData\LocalLow\Company
2016-04-08 09:52 - 2016-04-08 09:52 - 00000000 ____D G:\Users\Пётр\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2016-04-08 09:52 - 2016-04-08 09:52 - 00000000 ____D G:\uninst
2016-04-08 09:52 - 2016-04-08 09:52 - 00000000 _____ G:\WINDOWS\SysWOW64\Number of results
2016-04-08 07:54 - 2016-04-08 09:52 - 00065856 _____ (Windows (R) Win 7 DDK provider) G:\WINDOWS\system32\Drivers\cherimoya.sys
2016-04-06 22:43 - 2016-04-06 22:59 - 00000000 ____D G:\Users\Пётр\AppData\Local\app
2016-04-06 22:41 - 2016-04-09 08:31 - 00000000 ____D G:\Program Files\Windows Screen Manager
2016-04-06 22:41 - 2016-04-06 22:41 - 00000000 ____D G:\Users\Пётр\AppData\Local\csdi_monetize_220160406
2016-04-06 22:39 - 2016-04-06 22:39 - 00000000 ____D G:\Users\Пётр\AppData\Local\rec_ru_245
2016-04-06 22:37 - 2016-04-06 22:37 - 00000000 ____D G:\Users\Пётр\AppData\Local\UCBrowser
2016-04-06 22:37 - 2016-03-08 11:05 - 00089840 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) G:\WINDOWS\system32\Drivers\ucguard.sys
2016-04-06 22:33 - 2016-04-06 23:38 - 00000000 ____D G:\Users\Пётр\AppData\Local\mpck_en_005030289
2016-04-06 22:33 - 2016-04-06 22:33 - 00000000 ____D G:\ProgramData\Microsoft\Windows\Start Menu\Programs\MOBILEPCSTARTERKIT
2016-04-06 22:32 - 2016-04-06 22:34 - 00000000 ____D G:\Users\Пётр\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-04-06 22:32 - 2016-04-06 22:32 - 00000000 ____D G:\Users\Пётр\AppData\Local\csdi_monetize_120160406
2016-04-06 22:31 - 2016-04-09 11:59 - 00000000 ____D G:\Program Files\SpaceSoundPro
2016-04-06 22:31 - 2016-04-06 22:31 - 00015188 _____ G:\WINDOWS\System32\Tasks\WinTaske
2016-04-06 22:30 - 2016-04-06 22:32 - 00000000 ____D G:\Users\Пётр\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-04-06 22:30 - 2016-04-06 22:30 - 00000000 ____D G:\Users\Public\Documents\dmp
2016-04-06 22:30 - 2016-04-06 22:30 - 00000000 ____D G:\Program Files (x86)\Winsere
2016-04-06 22:30 - 2016-04-06 22:30 - 00000000 ____D G:\Program Files (x86)\badu
2016-04-06 22:20 - 2016-04-09 05:22 - 00000000 ____D G:\Users\Пётр\AppData\Local\32444335-1459981241-4B35-564B-80C16E54527D
2016-04-06 22:19 - 2016-04-06 22:17 - 00001006 _____ G:\WINDOWS\system32\Drivers\etc\hp.bak
2016-04-06 22:18 - 2016-04-09 05:23 - 00000000 ____D G:\Program Files (x86)\32444335-1459955932-4B35-564B-80C16E54527D
2016-04-01 00:18 - 2016-04-01 00:18 - 00000000 ____D G:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-04-01 00:15 - 2016-04-01 00:15 - 00000000 ____D G:\Users\Пётр\AppData\Roaming\MailProducts
2016-04-01 00:14 - 2016-04-01 01:15 - 00000000 ____D G:\Users\Все пользователи\Mail.Ru
2016-04-01 00:14 - 2016-04-01 01:15 - 00000000 ____D G:\ProgramData\Mail.Ru
2016-03-30 03:09 - 2016-03-30 03:11 - 00000000 __SHD G:\Users\Все пользователи\360Quarant
2016-03-30 03:09 - 2016-03-30 03:11 - 00000000 __SHD G:\ProgramData\360Quarant
2016-03-30 03:09 - 2016-03-30 03:11 - 00000000 __SHD G:\$360Section
Task: {27729CA1-6E96-4068-BE80-B6B775BA3F5E} - System32\Tasks\ASC8_PerformanceMonitor => G:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe
Task: {B302E0C7-6ABB-4987-846A-56CCD6172330} - System32\Tasks\Nowtefd => G:\PROGRA~1\Hushuhm\Dajfig.bat
ShortcutWithArgument: G:\Users\Пётр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> G:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeabests.cc/
ShortcutWithArgument: G:\Users\Пётр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> G:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=821267"
ShortcutWithArgument: G:\Users\Пётр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> G:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeabests.cc/
ShortcutWithArgument: G:\Users\Пётр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> G:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yeabests.cc/
ShortcutWithArgument: G:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> G:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeabests.cc/
ShortcutWithArgument: G:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> G:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yeabests.cc/
FirewallRules: [{4FC0CFCE-EA3E-4D9F-9187-F18E7E9B7053}] => (Allow) G:\Users\Пётр\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{267EAA9B-847F-4974-B89A-BFC932098B0D}] => (Allow) G:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{974A7111-E706-4E40-AAD4-8F8C98D6BBE0}] => (Allow) G:\Users\Пётр\AppData\Local\Temp\setup_779.exe
FirewallRules: [{7A36AD13-5997-4E46-AB38-68FB823A9F9A}] => (Allow) G:\Users\Пётр\AppData\Local\Temp\setup_779.exe
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sunnyday_is1" /f /reg:32
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (папку загрузок в Вашем случае.закройте все браузеры , запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
35
готово- - - - -Добавлено - - - - - - - - - -Добавлено - - - - -
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS .- - - - -Добавлено - - - - - ПЁТР-ПК_2016-04-09_15-33-26.7Z Выполните скрипт в uVS:
Код:
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
cexec powershell -command enable-computerrestore -drive \"C:\\\"
cexec powershell -command Checkpoint-Computer -Description "BeforeCure"
cexec tools\CreateRestorePoint.exe BeforeCure
; G:\WINDOWS\SYSTEM32\DRIVERS\BSDRIVER.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43D5AF29BD8003A6C3573E559D492B80849FC2A149FA1D8FE872956AB02C2D77A42FC7062273 64 Adware.Vbates.19 [DrWeb]
; G:\WINDOWS\SYSTEM32\DRIVERS\CHERIMOYA.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC0B32D47F48530E9D4C2FB220173AD01AC43665CE968D182BBB58 64 CHERIMOYA.SYS
delref %SystemDrive%\USERS\ПЁТР\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\USERS\ПЁТР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.3_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
;------------------------autoscript---------------------------
sreg
chklst
delvir
uidel "G:\Users\Пётр\AppData\Local\Mail.Ru\GameCenter\[email protected] " -uninstall
uidel "G:\Program Files (x86)\Yeaplayer\unins000.exe"
deltmp
delref %Sys32%\DRIVERS\VDIYMTYZ.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UCBROWSER.EXE
areg
;-------------------------------------------------------------
Компьютер перезагрузится.Java 8 Update 77 .
Junior Member
Вес репутации
35
как выполнить скрипт?Из файла?если да то из какого?
Из буфера обмена, я же ссылку на инструкцию дал .
Junior Member
Вес репутации
35
Сообщение от
Vvvyg
Из буфера обмена, я же ссылку на инструкцию дал .
Не должно быть ZOO, я не забирал ничего в карантин.
Junior Member
Вес репутации
35
при включении предлагает обновить Flash player,не знаю нормально ли это...В целом больше ничего не всплывает,только касперский предъявляет какие-то не обработанные объекты.AVZ все также ловит netapi32,ntdll, kernell32.dll- - - - -Добавлено - - - - -
Защиту системы сами отключали? Я при лечении точку восстановления так и не смог сделать.никакого отношения не имеет .эти советы , бывает на 10-ка такая беда иногда.
Junior Member
Вес репутации
35
касперский не предлагает,он заявляет что лечение троянской программы невозможно.В принципе все работает кроме кнопок на панели задач и особых трудностей не представляет.Куплю флешку отформатирую все и на 7-ку винду поменяю.Все же интересно что такое перехватчики?почему они у меня есть и причина их появления?Расскажите?За лечение Большое спасибо!Высший пилотаж)
Пётр, Вы поигрались с системой (ник, какбэ, намекаетДеинсталлировать (Uninstall) .рекомендации после лечения .
Итог лечения
Статистика проведенного лечения:Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы: g:\program files\contentprotector\conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.l
Сообщение от Vvvyg
), нахватали adware, тут их Вам полечили, тратя своё личное время и совершенно бесплатно... Оказалось - зазря, т. к. Вам систему переставить легче, чем разбираться с проблемами. А теперь хотите ещё и лекцию напоследок? Не будет, извините уж.
