в последнее время комп начал работать медленней иногда происходят кратковременные зависания, возможно есть вирус но я неуверен так как антивирусник ничего ненаходит. логи прилагаються
в последнее время комп начал работать медленней иногда происходят кратковременные зависания, возможно есть вирус но я неуверен так как антивирусник ничего ненаходит. логи прилагаються
Уважаемый(ая) pavelnb, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\admin\appdata\roaming\newsi_2\s_inst.exe', ''); QuarantineFile('C:\Windows\system32\mjcm\5113\nsib.dll', ''); QuarantineFile('C:\Windows\system32\jmdp\stij.exe', ''); QuarantineFile('C:\Windows\system32\jmdp\lmrn.dll', ''); QuarantineFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll', ''); QuarantineFile('C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll', ''); QuarantineFile('C:\Program Files\IB Updater\Extension32.dll', ''); QuarantineFile('C:\Users\admin\M-978675235415685794657786\winsvc.exe', ''); QuarantineFile('C:\Users\admin\M-502545038604832764890486035\winmgr.exe', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\eTranslator\eTranslator.exe', ''); QuarantineFile('C:\PROGRA~2\Local Settings\Temp\mswazaa.com', ''); DeleteFile('C:\PROGRA~1\VideoDownloadConverter_4z\bar\1.bin\4zsrchmn.exe', '32'); DeleteFile('C:\PROGRA~2\Local Settings\Temp\mswazaa.com', '32'); DeleteFile('C:\Program Files\MiPony\MiPony.exe', '32'); DeleteFile('C:\Users\admin\AppData\Local\Kometa\Application\kometa.exe', '32'); DeleteFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('C:\Users\admin\AppData\Roaming\eTranslator\eTranslator.exe', '32'); DeleteFile('C:\Users\admin\M-502545038604832764890486035\winmgr.exe', '32'); DeleteFile('C:\Users\admin\M-978675235415685794657786\winsvc.exe', '32'); DeleteFile('C:\Program Files\IB Updater\Extension32.dll', '32'); DeleteFile('C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll', '32'); DeleteFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll', '32'); DeleteFile('C:\Windows\system32\jmdp\lmrn.dll', '32'); DeleteFile('C:\Windows\system32\jmdp\stij.exe', '32'); DeleteFile('C:\Windows\system32\mjcm\5113\nsib.dll', '32'); DeleteFile('C:\Users\admin\appdata\roaming\newsi_2\s_inst.exe', '32'); DeleteFile('c:\progra~1\sw-booster\assistant.dll', '32'); DeleteService('TicnoIndexator'); DeleteFileMask('C:\Windows\system32\mjcm\5113', '*', true); DeleteFileMask('C:\Users\admin\appdata\roaming\newsi_2', '*', true); DeleteFileMask('C:\Users\admin\M-978675235415685794657786\', '*', true); DeleteFileMask('C:\Program Files\Speed Analysis 3', '*', true); DeleteFileMask('C:\Program Files\Iminent', '*', true); DeleteFileMask('C:\Users\admin\AppData\Roaming\eTranslator', '*', true); DeleteFileMask('C:\PROGRA~1\VideoDownloadConverter_4z', '*', true); DeleteFileMask('C:\Program Files\IB Updater', '*', true); DeleteDirectory('C:\Windows\system32\mjcm\5113'); DeleteDirectory('C:\Users\admin\appdata\roaming\newsi_2'); DeleteDirectory('C:\Users\admin\M-978675235415685794657786\'); DeleteDirectory('C:\Program Files\Speed Analysis 3'); DeleteDirectory('C:\Program Files\Iminent'); DeleteDirectory('C:\Users\admin\AppData\Roaming\eTranslator'); DeleteDirectory('C:\PROGRA~1\VideoDownloadConverter_4z'); DeleteDirectory('C:\Program Files\IB Updater'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DelBHO('{e7e8ed77-2fba-4ec6-bc07-65de4de6709f}'); DelBHO('{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0}'); DelBHO('{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}'); DelBHO('{336D0C35-8A85-403a-B9D2-65C292C39087}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_5900B72B30FA0A1ACC8900BEE77E9884', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkkfoekden', 'command'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
логи
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> [HTTP][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk" -> ["C:\firefox.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Mozilla Firefox\" "C:\PROGRA~1\Mozilla Firefox\firefox.exe" "hxxp://savsearch.ru"¶ (MD5:AC4ACDF7CF3F98FE0A4E12EE18C87543) >>> [HTTP][RO] "C:\Users\admin\Desktop\1\Войти в Интернет.lnk" -> ["C:\Users\admin\AppData\Local\chrome.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Xpom\Application\" "C:\Users\admin\AppData\Local\Xpom\Application\chrome.exe" "hxxp://savsearch.ru"¶ (MD5:4FA0F6964280C02A8E98C1FC01C66054) >>> [modified][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk" -> ["C:\opera.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Opera\" "C:\PROGRA~1\Opera\opera.exe" "hxxp://savsearch.ru"¶ (MD5:88732636022E518471428F47F6C9B165) >>> [modified][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Елементи Яндекса\Сторінка Елементів Яндекса для Intеrnеt Ехplоrеr.lnk" -> ["C:\ProgramData\help.bat" -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\PROGRA~2\Yandex\Elements\" "C:\PROGRA~2\Yandex\Elements\help.url" -- "hxxp://savsearch.ru"¶ (MD5:65F9EFA8AA99112ECB0D35FC71C597A5) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk" -> ["C:\Program Files\Google\chrome.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Google\Chrome\Application\" "C:\PROGRA~1\Google\Chrome\Application\chrome.exe" "hxxp://savsearch.ru"¶ (MD5:7735A721B3600C09BCE13668B421DAB0) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk" -> ["C:\iexplore.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶ (MD5:07F9CEAD5149159C358B6F18E130E073) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Gооglе Сhrоmе.lnk" -> ["C:\Program Files\Google\chrome.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Google\Chrome\Application\" "C:\PROGRA~1\Google\Chrome\Application\chrome.exe" "hxxp://savsearch.ru"¶ (MD5:7735A721B3600C09BCE13668B421DAB0) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk" -> ["C:\Users\admin\AppData\Local\Yandex\browser.bat" -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\" "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url" -- "hxxp://savsearch.ru"¶ (MD5:A1A1EA1B6E42F4CA83454F6A476A9242) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk" -> ["C:\iexplore.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶ (MD5:07F9CEAD5149159C358B6F18E130E073) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk" -> ["C:\iexplore.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://savsearch.ru"¶ (MD5:07F9CEAD5149159C358B6F18E130E073) >>> [modified][RO][MASK] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\admin\AppData\Local\Yandex\browser.bat" -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\" "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url" -- "hxxp://savsearch.ru"¶ (MD5:A1A1EA1B6E42F4CA83454F6A476A9242) >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Интернет.lnk" -> ["C:\Users\admin\AppData\Local\chrome.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Xpom\Application\" "C:\Users\admin\AppData\Local\Xpom\Application\chrome.exe" "hxxp://savsearch.ru"¶ (MD5:4FA0F6964280C02A8E98C1FC01C66054) >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk" -> ["C:\Users\admin\AppData\Local\BrowserManager.bat" -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Local\Yandex\Updater2\" "C:\Users\admin\AppData\Local\Yandex\Updater2\BrowserManager.exe" -- "hxxp://savsearch.ru"¶ (MD5:26E540E7FF080DAC6A1729C06F174DCF) >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk" -> ["C:\Users\admin\AppData\Roaming\YaDesktopStarter.bat" -> --"hxxp://savsearch.ru"] -> start "" /I /B /D"C:\Users\admin\AppData\Roaming\Yandex\YandexDisk\" "C:\Users\admin\AppData\Roaming\Yandex\YandexDisk\YaDesktopStarter.exe" -- "hxxp://savsearch.ru"¶ (MD5:DA667051AEFDA5597C7A6E049FF8468E) >>> [modified][RO][MASK] "C:\Users\admin\Desktop\1\Оpеrа.lnk" -> ["C:\opera.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Opera\" "C:\PROGRA~1\Opera\opera.exe" "hxxp://savsearch.ru"¶ (MD5:88732636022E518471428F47F6C9B165) - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Kometa.lnk" -> ["C:\Users\admin\AppData\Local\Kometa\Application\kometa.exe"] - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk" -> ["C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe"] - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk" -> ["C:\Users\admin\AppData\Local\Amigo\Application\go_internet.exe"] >>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WoW Atlantis\Ланчер Атлантиса.lnk" -> ["C:\Atlantis_Launcher.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\Atlantis\" "C:\Atlantis\Atlantis_Launcher.exe" "hxxp://savsearch.ru"¶ (MD5:F2B7D51861605E489520D2A591073E9B) >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplаy.lnk" -> ["C:\Program Files\Uplay.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\Ubisoft\Ubisoft Game Launcher\" "C:\PROGRA~1\Ubisoft\Ubisoft Game Launcher\Uplay.exe" "hxxp://savsearch.ru"¶ (MD5:423F0E3BD095AC35565D293F08C8BBAF) >>> [modified][RO] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk" -> ["D:\launcher.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"D:\I1432~1\WarThunder\" "D:\I1432~1\WarThunder\launcher.exe" "hxxp://savsearch.ru"¶ (MD5:8EED277E69BFEAC9751D0E6C83F40DB1) >>> [HTTP][RO] "C:\Users\admin\Desktop\PС Spееd Up.lnk" -> ["C:\PCSULauncher.bat" -> "hxxp://savsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~1\PC Speed Up\" "C:\PROGRA~1\PC Speed Up\PCSULauncher.exe" "hxxp://savsearch.ru"¶ (MD5:9F2EA84535C1573D44A24A67972ABC35) -[*.URL] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software\SpeedUpMyComputer\Website.lnk" -> ["C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.url"] -> hxxp://vvv.smarttweak.us ( >>> SPEEDUPMYCOMPUTER.exe существует <<< ) - "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk" -> ["C:\Program Files\MiPony\MiPony.exe"] - "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk" -> ["C:\Program Files\MiPony\MiPony.exe"] - "C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url" -> hxxp://rugooglee.ru - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url" -> hxxp://support.dealply.com/ - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url" -> hxxp://vvv.dealply.com/
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладках Службы - KMService, Файлы - C:\Windows\system32\srvany.exe
Если используете программы, от Mail.Ru - уберите соответствующие галочки на вкладках Папки и в Службы - на.Код:Guard.Mail.ru
Остальные галочки рекомендую оставить для последующего удаления.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
P. S.: Ваши логи - пока лидер по найденному количеству шлака в моей практике
WBR,
Vadim
логи приложил, вроде как пока проблемы с кратковременными зависаниями больше невижу
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
WBR,
Vadim
выложил логи
Деинсталлируйте программы:
etranslator
Kometa
Qtrax Connection Manager
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).Код:GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3181915952-2439953737-983637178-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\...\Policies\Explorer\Run: [39157] => C:\PROGRA~2\Local Settings\Temp\mswazaa.com No File AppInit_DLLs: sdloader.dll => sdloader.dll File Not Found ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> E7A2B76D353381CCDDA7B8F824D1D311 URL = http://search.ticno.com/?c=t&q={searchTerms} SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> {1DA79E68-C581-4776-B3B6-901C0E708128} URL = http://www.mysearchresults.com/search?c=2402&t=01&q={searchTerms} SearchScopes: HKU\S-1-5-21-3181915952-2439953737-983637178-1000 -> {34F7D18D-CEDF-4B58-B60D-C7A70E6DA9AB} URL = http://search.ticno.com/?c=t&q={searchTerms} FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin HKU\S-1-5-21-3181915952-2439953737-983637178-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File FF Plugin HKU\S-1-5-21-3181915952-2439953737-983637178-1000: pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Better-Surf\ff FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha689\ff FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta834\ff FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaWatchV1\MediaWatchV1home823\ff FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1231\ff 2014-12-25 20:57 - 2014-12-30 09:16 - 00000000 _RSHD () C:\Users\admin\M-502545038604832764890486035 2014-12-25 20:57 - 2014-12-25 20:57 - 00000000 _RSHD () C:\Users\admin\M-978675235415685794657786 2014-12-25 20:53 - 2014-12-25 20:53 - 00000000 ____D () C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa 2014-12-25 20:35 - 2014-12-25 20:35 - 00000000 ____D () C:\Users\admin\AppData\Local\Вoйти в Интeрнет 2inf.net 2014-12-25 20:30 - 2014-12-25 20:30 - 00000000 ____D () C:\Users\admin\AppData\Local\Поиcк в Интeрнете 2014-12-23 15:55 - 2014-12-26 23:23 - 00000000 ____H () C:\Users\admin\AppData\Roaming\windrv.txt 2014-12-23 15:55 - 2014-12-23 15:55 - 00000000 _RSHD () C:\Users\admin\M-5025450386048320486035 2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\Все пользователи\AlterGeo 2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Искать в Интернете.url 2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\Users\admin\AppData\Local\MailRu 2014-12-06 15:24 - 2014-12-06 15:24 - 00000001 __RSH () C:\ProgramData\AlterGeo 2014-12-06 15:23 - 2014-12-06 15:23 - 00000001 __RSH () C:\Program Files\AlterGeo Task: {67EF6E34-AF73-4C34-A592-39077A199535} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe <==== ATTENTION InternetURL: C:\Users\admin\Favorites\Mail.Ru Агент - используй для общения!.url -> hxxp://agent.mail.ru InternetURL: C:\Users\admin\Favorites\Mail.Ru.url -> hxxp://www.mail.ru InternetURL: C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url -> hxxp://rugooglee.ru EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров.
WBR,
Vadim
прикрепил лог
Удалите папку C:\FRST со всем содержимым.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\iminent\iminent.webbooster.internetexplorer. dll - not-a-virus:WebToolbar.Win32.Iminnent.c
- c:\users\admin\appdata\roaming\newsi_2\s_inst.exe - not-a-virus:AdWare.Win32.MMag.k ( DrWEB: Trojan.Fakealert.47029, BitDefender: Gen:Variant.Adware.Graftor.154914 )
- c:\users\admin\m-502545038604832764890486035\winmgr.exe - Trojan-Dropper.Win32.Sysn.aqvs ( DrWEB: Trojan.Siggen.65341, AVAST4: Win32:Malware-gen )
- c:\windows\system32\jmdp\lmrn.dll - not-a-virus:WebToolbar.Win32.Perinet.d
- c:\windows\system32\jmdp\stij.exe - not-a-virus:WebToolbar.Win32.Perinet.d
- c:\windows\system32\mjcm\5113\nsib.dll - not-a-virus:WebToolbar.Win32.Perinet.d
Уважаемый(ая) pavelnb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.