Показано с 1 по 18 из 18.

Заражение - более 243 вирусов - удаление остатков [not-a-virus:Downloader.Win32.Agent.cxan ] (заявка № 174072)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55

    Заражение - более 243 вирусов - удаление остатков [not-a-virus:Downloader.Win32.Agent.cxan ]

    На ПК с Windows 7 64-bit было установлено много мелких игр и адаваре.
    Удалил все через меню "Установка и удаление программ".Что не удалилось через меню удалил при помощи revo uninstaller.
    Установил Аваст, но он часть вирусов видит а удалить не может.
    Использовал drweb curiet он нашел 243 угрозы и ликвидировал их. Но по прежнему нет доступа к скачке drweb curiet с этого ПК.
    IE в строке запуска имеет
    "C:\Program Files\Internet Explorer\iexplore.bat" "http://topfiverusearch.ru"
    Исправить не дает пишет нет прав.
    Помогите добить остатки вирусов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sergeykorolev, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот файлы

    - - - - -Добавлено - - - - -

    Не дает прикрепить нормально, сейчас выложу через файловый хостинг.

    - - - - -Добавлено - - - - -

    https://yadi.sk/i/nLUcNtPGdogtw
    https://yadi.sk/d/rUAkTHl3doguU
    Выложил через яндекс диск
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\дом\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\downloader.exe','');
     QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
     QuarantineFile('C:\Users\дом\AppData\Roaming\SFIQYSD.exe','');
     QuarantineFile('C:\Users\дом\AppData\Roaming\OPSN.exe','');
     QuarantineFile('C:\Users\дом\AppData\Roaming\CPOKCZF.exe','');
     QuarantineFile('C:\Users\дом\AppData\Roaming\extension\ChromeExtensionUpdater.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\screentk\screentoolkit.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\screentk\screentool.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\screentk\screentkup.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\Yandex\browser.bat','');
     QuarantineFile('C:\Users\дом\AppData\Local\UpdateChecker\UpdateCheckerApp.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\PriceFountain\pricefountainw.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\Microsoft\Windows\toolbar.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\Kometa\kometaup.exe','');
     QuarantineFile('C:\Users\дом\AppData\Local\Kometa\Application\kometa.exe','');
     QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
     QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
     QuarantineFile('C:\Program Files (x86)\baidu\windows.exe','');
     QuarantineFile('C:\Program Files (x86)\f552dd4c52e3\a7d12b5975b4.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
     QuarantineFile('C:\Windows\system32\drivers\mwiynzm4ndy1yjz.sys','');
     DeleteService('mwiynzm4ndy1yjz');
     QuarantineFile('C:\Program Files (x86)\Smwyyntm1ndi1zdz\mwiynzm4ndy1yjz.exe','');
     QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys','');
     DeleteService('ssnfd');
     QuarantineFile('C:\Windows\SysWOW64\lnsecsl.exe','');
     DeleteService('Adobe Licensing Console');
     DeleteFile('C:\Windows\SysWOW64\lnsecsl.exe','32');
     DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32');
     DeleteFile('C:\Program Files (x86)\Smwyyntm1ndi1zdz\mwiynzm4ndy1yjz.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mwyyntm1ndi1zdz','command');
     DeleteFile('C:\Windows\system32\drivers\mwiynzm4ndy1yjz.sys','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
     DeleteFile('C:\Program Files (x86)\f552dd4c52e3\a7d12b5975b4.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Salus CrashMon','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
     DeleteFile('C:\Program Files (x86)\baidu\windows.exe','32');
     DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
     DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
     DeleteFile('C:\Users\дом\AppData\Local\Kometa\Application\kometa.exe','32');
     DeleteFile('C:\Users\дом\AppData\Local\Kometa\kometaup.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_7038B7ABC7B5262932B15131A14C98DD','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
     DeleteFile('C:\Users\дом\AppData\Local\Microsoft\Windows\toolbar.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search','command');
     DeleteFile('C:\Users\дом\AppData\Local\PriceFountain\pricefountainw.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command');
     DeleteFile('C:\Users\дом\AppData\Local\UpdateChecker\UpdateCheckerApp.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateChecker','command');
     DeleteFile('C:\Users\дом\AppData\Local\Yandex\browser.bat','32');
     DeleteFile('C:\Users\дом\AppData\Local\screentk\screentkup.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentkUpdater','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentk','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentoolkit.exe','command');
     DeleteFile('C:\Users\дом\AppData\Local\screentk\screentool.exe','32');
     DeleteFile('C:\Users\дом\AppData\Local\screentk\screentoolkit.exe','32');
     DeleteFile('C:\Users\дом\AppData\Roaming\extension\ChromeExtensionUpdater.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChromeExtensionUpdater','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hvhodxweqp','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
     DeleteFile('C:\Users\дом\AppData\Roaming\CPOKCZF.exe','32');
     DeleteFile('C:\Users\дом\AppData\Roaming\OPSN.exe','32');
     DeleteFile('C:\Users\дом\AppData\Roaming\SFIQYSD.exe','32');
     DeleteFile('C:\Windows\Tasks\SFIQYSD.job','64');
     DeleteFile('C:\Windows\Tasks\OPSN.job','64');
     DeleteFile('C:\Windows\Tasks\CPOKCZF.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Popup','64');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Start','64');
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Users\дом\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
     DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
     DeleteFile('C:\Users\дом\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\{C53FEB43-E318-4347-BC5F-15BD51DF66F0}','64');
     DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
     DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
     DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте такой лог
    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот логи
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    • Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Поместите в карантин МВАМ всё, кроме
    Код:
    Password.Stealer.H, C:\Program Files (x86)\Counter Strike Source\Clan-Name-Changer.exe, , [f25f9166d7b244f2fb631c91a95cdb25], 
    Password.Stealer.H, C:\Program Files (x86)\Counter Strike Source v84\Change_Name-Clan.exe, , [fc557f78d2b7f541d38b4d60768f718f], 
    VirTool.Obfuscator, C:\Users\Public\Music\Sample Music\3_Crack_44 (1).rar, , [bf925b9c6128e94d9b18b19040c1df21], 
    PUP.Optional.LoadMoney, C:\Users\??????\Downloads\kop-hack-23.zip, , [92bfb83fc7c2f541cbc41cee8b77956b], 
    Malware.Gen.SKR, D:\Sleeping Dogs\buddha.dll, , [3d14e6112d5c46f052ffedde50b0df21],
    Сделайте новый лог RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот первый лог

    А как поместить в карантин МВАМ всё, кроме?

    - - - - -Добавлено - - - - -

    С карантином разобрался
    Вот последний лог программой rist
    Изображения Изображения
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    А как поместить в карантин МВАМ всё, кроме?
    Повторите сканирование в MBAM, а по окончанию проверки поместите в карантин все, кроме указанных записей в 6 сообщении.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от sergeykorolev Посмотреть сообщение
    А как поместить в карантин МВАМ всё, кроме?
    Запустить повторное сканирование и дождаться его окончания

    Пофиксите в HiJack
    Код:
    O2 - BHO: (no name) - {40aef60b-a6f8-4389-9003-a683dd75b850} - (no file)
    O2 - BHO: AVdowloads - {57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA} - (no file)
    O2 - BHO: (no name) - {95d44554-ceae-414b-80d5-464285c38738} - (no file)
    O4 - HKCU\..\Run: [xisfizwljs] cmd /c start http://simsimotkroysia.ru/
    O4 - HKCU\..\Run: [hcutoxzlje] cmd /c start http://shampinfo.ru/
    Удалите вручную
    C:\Program Files (x86)\Kinoroom Browser
    C:\Users\дом\AppData\Roaming\IHlpr
    C:\found.006
    C:\ProgramData\Kbupdater Utility
    C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf
    C:\Users\дом\AppData\Roaming\advPlugin
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Проделал указанные операции. Что надо сделать еще ?

    - - - - -Добавлено - - - - -

    Оживает периодически Zaxar. Антивирус установлен Аваст.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот логи программы
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1423140134&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423140107&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&q={searchTerms}
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1423140134&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423140107&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&q={searchTerms}
      HKU\S-1-5-21-719718280-1783716179-1495104672-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
      HKU\S-1-5-21-719718280-1783716179-1495104672-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=ticno2
      SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423140107&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&q={searchTerms}
      SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
      SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
      SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=ticno2
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> 712667112FF520A40FC97EB81AC79C7B URL = http://go-search.ru/search?q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> FEF71D9281834AB68D5BFEE2472D9BAF URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&ts=1423140165&type=default&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&ts=1423140165&type=default&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=20b8b44eb554999ee177d5f0ff0b7221&text={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=20b8b44eb554999ee177d5f0ff0b7221&text=
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&ts=1423140165&type=default&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423140134&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&ts=1423140165&type=default&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://yandex.ru/yandsearch?win=163&clid=1985536-203&text={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_Z3TBB0C8XXXXZ3TBB0C8&ts=1423140165&type=default&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=ticno2
      BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll (AVAST Software)
      BHO: No Name -> {95d44554-ceae-414b-80d5-464285c38738} ->  No File
      BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} ->  No File
      BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
      Toolbar: HKLM - No Name - {95d44554-ceae-414b-80d5-464285c38738} -  No File
      Toolbar: HKLM-x32 - No Name - {95d44554-ceae-414b-80d5-464285c38738} -  No File
      Toolbar: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
      Toolbar: HKU\S-1-5-21-719718280-1783716179-1495104672-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR HKLM-x32\...\Chrome\Extension: [bfdlbgbpgjichdjjmkdcpagfggicjfom] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
      CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [floliaooiknlkomgicdodamdihnhjgni] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [lejgaailkdamkibfiedjjnejcibjgljl] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [nldekieodmkceimbjnaboonipiaakoel] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [nmpjlchjijbdlflkpnglbepmhjaejkjl] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
      2015-02-21 15:52 - 2015-02-21 15:52 - 00000000 ____D () C:\Program Files (x86)\ver2BlockAndSurf
      2015-02-21 15:51 - 2015-02-21 15:51 - 00001049 _____ () C:\Users\дом\Desktop\Continue Live Installation.lnk
      2015-02-20 15:17 - 2015-02-20 15:17 - 00000000 ____D () C:\Program Files (x86)\ver7SpeedCheck
      2015-02-19 19:47 - 2015-02-19 19:47 - 00000000 ____D () C:\Users\дом\AppData\Local\wincheck
      2015-02-19 19:47 - 2015-02-19 19:47 - 00000000 ____D () C:\Users\дом\AppData\Local\FF998BA0-1424375259-11D5-808B-002618E4C6C2
      2015-02-19 19:44 - 2015-02-19 19:45 - 00000000 ____D () C:\Users\дом\AppData\Roaming\ASPackage
      2015-02-17 20:10 - 2015-02-17 20:10 - 00000000 __SHD () C:\found.006
      2015-02-17 12:34 - 2015-02-17 12:34 - 00000000 ____D () C:\Users\дом\AppData\Roaming\shoujizhushou
      2015-02-16 19:46 - 2015-02-16 19:46 - 00000000 ____D () C:\Users\дом\AppData\Local\Kingsoft
      2015-02-15 20:42 - 2015-02-15 20:42 - 00000000 ____D () C:\Users\Все пользователи\KSafeCommon
      2015-02-15 20:42 - 2015-02-15 20:42 - 00000000 ____D () C:\ProgramData\KSafeCommon
      2015-02-15 13:09 - 2015-02-17 12:54 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft
      2015-02-15 13:09 - 2015-02-17 12:54 - 00000000 ____D () C:\ProgramData\Kingsoft
      2015-02-15 13:09 - 2015-02-17 12:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸
      2015-02-15 13:09 - 2015-02-15 20:48 - 00000000 __SHD () C:\KRECYCLE
      2015-02-15 13:09 - 2015-02-15 20:42 - 00000000 ____D () C:\Users\дом\AppData\Roaming\Kingsoft
      2015-02-15 13:09 - 2015-02-15 13:41 - 00080744 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys
      2015-02-15 13:09 - 2015-02-15 13:41 - 00056680 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys
      2015-02-15 13:09 - 2015-02-15 13:36 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys
      2015-02-15 13:09 - 2015-02-15 13:36 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys
      2015-02-15 13:09 - 2015-02-15 13:36 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys
      2015-02-15 13:09 - 2015-02-15 13:35 - 00229192 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl_del.sys
      2015-02-15 13:09 - 2015-02-15 13:35 - 00229192 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys
      2015-02-15 13:09 - 2015-02-15 13:33 - 00190792 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker64.sys
      2015-02-15 13:09 - 2015-02-15 13:33 - 00146248 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker.sys
      2015-02-15 13:09 - 2015-02-15 13:29 - 00031592 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc.sys
      2015-02-15 13:09 - 2015-02-15 13:14 - 00000000 ____D () C:\Program Files (x86)\kingsoft
      2015-02-15 13:09 - 2015-02-15 13:09 - 00225080 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl64.sys
      2015-02-15 13:09 - 2015-02-15 13:09 - 00031848 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc64.sys
      2015-02-15 13:09 - 2015-02-15 13:09 - 00024472 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bc.sys
      2015-02-15 13:09 - 2015-02-15 13:09 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys
      2015-02-15 13:09 - 2015-02-15 13:09 - 00018296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery64.sys
      2015-02-15 13:09 - 2015-02-15 13:09 - 00014200 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery.sys
      2015-02-09 16:01 - 2015-02-09 16:01 - 00000100 ____H () C:\iexplore.bat
      2015-02-09 16:01 - 2015-02-09 16:01 - 00000099 ____H () C:\firefox.bat
      2015-02-09 16:01 - 2014-11-26 18:40 - 00337520 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
      2015-02-09 16:01 - 2009-07-14 03:17 - 00673048 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
      2015-02-08 20:22 - 2015-02-08 20:22 - 00003300 _____ () C:\Windows\System32\Tasks\Safebrowser
      2015-02-05 14:43 - 2015-02-05 14:43 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
      2015-02-05 14:43 - 2015-02-05 14:43 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
      2015-02-05 14:39 - 2015-02-09 10:38 - 00000000 ____D () C:\Users\дом\AppData\Local\gmsd_ru_116
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000115 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000114 ____H () C:\Program Files (x86)\layouts.bat
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000112 ____H () C:\Program Files (x86)\punto.bat
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000112 ____H () C:\Program Files (x86)\diary.bat
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000109 ____H () C:\Program Files (x86)\ps.bat
      2015-02-05 14:27 - 2015-02-05 14:27 - 00000000 ____D () C:\Users\дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
      2015-02-05 14:27 - 2014-10-20 11:01 - 01584128 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
      2015-02-05 14:27 - 2014-10-20 11:01 - 00284672 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
      2015-02-05 14:27 - 2014-10-20 11:00 - 00027648 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
      2015-01-29 15:04 - 2015-01-29 15:04 - 00003282 _____ () C:\Windows\System32\Tasks\Kbupdater Utility
      2015-02-17 19:58 - 2015-01-06 12:29 - 00000000 ____D () C:\Users\дом\AppData\Local\Kometa
      2015-02-16 13:43 - 2014-12-18 20:03 - 00000000 ____D () C:\Users\дом\AppData\Local\SystemDir
      2015-02-09 16:34 - 2014-09-12 19:30 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
      2015-02-09 16:34 - 2014-09-12 19:30 - 00000008 __RSH () C:\ProgramData\ntuser.pol
      2015-02-08 20:21 - 2014-09-28 13:21 - 00000000 _____ () C:\Users\дом\AppData\Roaming\smw_inst
      C:\Users\дом\AppData\Local\Temp\1ABE0482-DFC1-E888-DB66-3EEC5D6B57BB.dll
      C:\Users\дом\AppData\Local\Temp\20D82190-BCFA-4BA4-B898-120A0009B735.exe
      C:\Users\дом\AppData\Local\Temp\69aQF6JtqYkn.exe
      C:\Users\дом\AppData\Local\Temp\6DC074E5-0784-70F2-586A-7CA4D5527E2E.dll
      C:\Users\дом\AppData\Local\Temp\8vDNkGmev9gE.exe
      C:\Users\дом\AppData\Local\Temp\AmigoDistrib.exe
      C:\Users\дом\AppData\Local\Temp\aXCZ0DaLOZTf.exe
      C:\Users\дом\AppData\Local\Temp\bO3yui11jPWE.exe
      C:\Users\дом\AppData\Local\Temp\hlcmd.exe
      C:\Users\дом\AppData\Local\Temp\jqyDfPB9UqQc.exe
      C:\Users\дом\AppData\Local\Temp\l9NpIS6IM2Q0.exe
      C:\Users\дом\AppData\Local\Temp\mailruhomesearchvbm.exe
      C:\Users\дом\AppData\Local\Temp\MailRuUpdater.exe
      C:\Users\дом\AppData\Local\Temp\mediaget-uninstaller.exe
      C:\Users\дом\AppData\Local\Temp\MM2YgPoVHj0I.exe
      C:\Users\дом\AppData\Local\Temp\netE1F2.tmp.exe
      C:\Users\дом\AppData\Local\Temp\nVbmKkjBfTGy.exe
      C:\Users\дом\AppData\Local\Temp\O5rznoaNx00d.exe
      C:\Users\дом\AppData\Local\Temp\PDM7G5XlWlAM.exe
      C:\Users\дом\AppData\Local\Temp\QhtmqvxcTM0P.exe
      C:\Users\дом\AppData\Local\Temp\RWg0yCq0Lcr1.exe
      C:\Users\дом\AppData\Local\Temp\sender.exe
      C:\Users\дом\AppData\Local\Temp\ti128.exe
      C:\Users\дом\AppData\Local\Temp\ti64.exe
      C:\Users\дом\AppData\Local\Temp\Uninstall.exe
      C:\Users\дом\AppData\Local\Temp\xqLX1yir05ez.exe
      C:\Users\дом\AppData\Local\Temp\xRyQZe7tKf6Y.exe
      WinCheck (HKLM-x32\...\wincheck) (Version: 1.0.0.0 - WinCheck) <==== ATTENTION!
      CustomCLSID: HKU\S-1-5-21-719718280-1783716179-1495104672-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> No File Path
      CustomCLSID: HKU\S-1-5-21-719718280-1783716179-1495104672-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> No File Path
      CustomCLSID: HKU\S-1-5-21-719718280-1783716179-1495104672-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> No File Path
      Task: {74BF3914-ACEE-49FE-B50C-CED4E072C940} - System32\Tasks\extsetup => C:\Users\дом\AppData\Local\Microsoft\Extensions\extsetup.exe
      Task: {8BA5FD12-6CE4-4575-9DD0-AED4FA03C316} - \DoctorPC_Popup No Task File <==== ATTENTION
      Task: {8C0F9E07-0386-482F-A4AA-E9D369A69047} - System32\Tasks\Safebrowser => C:\Users\дом\AppData\Local\Microsoft\Extensions\safebrowser.exe
      Task: {9A912D13-B0D1-4548-9CE2-B1C677207D05} - \{C53FEB43-E318-4347-BC5F-15BD51DF66F0} No Task File <==== ATTENTION
      Task: {34B49B87-3CB4-4573-B6FE-165151575A71} - System32\Tasks\Kbupdater Utility => C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe
      Task: {ED981843-3016-4D0E-BB39-6556315D5241} - \DoctorPC_Start No Task File <==== ATTENTION
      2015-02-19 19:45 - 2015-02-19 19:45 - 00067584 _____ () C:\Users\дом\AppData\Roaming\ASPackage\ASSrv.exe
      2015-02-19 19:17 - 2015-02-19 19:17 - 01960448 _____ () C:\Users\дом\AppData\Local\FF998BA0-1424375259-11D5-808B-002618E4C6C2\ConvertAd.exe
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Пришлось загрузить по ссылке сверху как карантин иначе он не проходил по размеру.
    Результат загрузки

    Файл сохранён как 150221_204015_Fixlog_54e8b4ef187ab.zip
    Размер файла 34960
    MD5 bec4c5d88c6873ee5717f53d2116fd6c
    Файл закачан, спасибо!

    - - - - -Добавлено - - - - -

    Архив прикрепился.
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Пока ситуация такая. Удалили еще раз из программ все что снова образовалось из нежелательного.
    Выполнил все фиксы которые мне рекомендовали. Но не получилось удалить kingsoft antivirus, какя-то китайская дрянь с иегроглифами. Удалил Аваст и установил триальную версию касперского. Он сразу нашел еще 29 проблем разногокалибра. Устранил их и попросил хозяев на ночь провести полную проверку Касперским. Сегодня пойду посмотрю что это дало. Пока точка не поставлена. Часть нежелаьельного ПО восстанавливается в системе.

    - - - - -Добавлено - - - - -

    Этот kingsoft antivirus находится в c:\programm files(x86), но его нет в Программмах и компонентах. Папки не удаляются в безопасном режиме (что-то их использует). Процесса имеющего отношение к этому в диспетчере задач нет. Диагностический запуск не проходит. kingsoft antivirus как-то его блокирует и происходит простой запуск ОС.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Еще раз логи FRST сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\дом\appdata\local\kometa\kometaup.exe - not-a-virus:Downloader.Win32.Agent.cxan ( DrWEB: Trojan.LoadMoney.420, BitDefender: Gen:Variant.Graftor.165927 )


  • Уважаемый(ая) sergeykorolev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Удаление остатков вирусов
      От Lone_Wanderer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2011, 18:30
    2. Удаление остатков порноинформера
      От murella в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.07.2010, 15:31
    3. Отчистить от остатков вирусов!
      От ZMarat в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.03.2010, 15:56
    4. Ответов: 4
      Последнее сообщение: 21.02.2010, 23:49
    5. eKAV Antivirus удаление остатков
      От 2Greek в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2010, 21:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00748 seconds with 20 queries