Рылся в интернете, рылся и дорылся.
Началось всё с того, что установился пак со всяким ненужным хламом, типа Амиго, Мейла и прочего. Теперь после каждого запуска компьютера, минут через 5-10 появляется это "Continue Live Installation" на рабочем столе, после предлагает себя установить.
ОС. Windows 10 Technical preview.
ps. Первый раз тут, поэтому скажите с чего начать и тд и тд! логи и прочее
Последний раз редактировалось Kirill Popov; 08.03.2015 в 11:03.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kirill Popov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\program files (x86)\google\update\googleupdate.exe',''); QuarantineFile('c:\program files (x86)\tunnelbear\tbear.maintenance.exe',''); QuarantineFile('C:\Users\EXTRDF\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\EXTRDF\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\EXTRDF\AppData\Roaming\C6F47A18-1425719531-11E1-8856-B80F15C62CEF\nsi3611.tmp',''); QuarantineFile('C:\Users\EXTRDF\AppData\Roaming\C6F47A18-1425719531-11E1-8856-B80F15C62CEF\jnslC14A.tmp',''); QuarantineFile('C:\Users\EXTRDF\AppData\Local\C6F47A18-1425730547-11E1-8856-B80F15C62CEF\snsyB400.tmp',''); QuarantineFile('C:\Users\EXTRDF\AppData\Local\C6F47A18-1425730534-11E1-8856-B80F15C62CEF\cnsn7F75.tmp',''); SetServiceStart('pyzexyby', 4); DeleteService('pyzexyby'); SetServiceStart('gedymoty', 4); DeleteService('gedymoty'); SetServiceStart('cimicutu', 4); DeleteService('cimicutu'); SetServiceStart('byrisiwo', 4); DeleteService('byrisiwo'); TerminateProcessByName('c:\users\extrdf\appdata\local\c6f47a18-1425730547-11e1-8856-b80f15c62cef\snsyb400.tmp'); QuarantineFile('c:\users\extrdf\appdata\local\c6f47a18-1425730547-11e1-8856-b80f15c62cef\snsyb400.tmp',''); QuarantineFile('c:\users\extrdf\appdata\local\microsoft\onedrive\onedrive.exe',''); TerminateProcessByName('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\nsi3611.tmp'); QuarantineFile('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\nsi3611.tmp',''); TerminateProcessByName('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\jnslc14a.tmp'); QuarantineFile('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\jnslc14a.tmp',''); TerminateProcessByName('c:\users\extrdf\appdata\local\c6f47a18-1425730534-11e1-8856-b80f15c62cef\cnsn7f75.tmp'); QuarantineFile('c:\users\extrdf\appdata\local\c6f47a18-1425730534-11e1-8856-b80f15c62cef\cnsn7f75.tmp',''); DeleteFile('c:\users\extrdf\appdata\local\c6f47a18-1425730534-11e1-8856-b80f15c62cef\cnsn7f75.tmp','32'); DeleteFile('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\jnslc14a.tmp','32'); DeleteFile('c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\nsi3611.tmp','32'); DeleteFile('c:\users\extrdf\appdata\local\c6f47a18-1425730547-11e1-8856-b80f15c62cef\snsyb400.tmp','32'); DeleteFile('C:\Users\EXTRDF\AppData\Local\C6F47A18-1425730534-11E1-8856-B80F15C62CEF\cnsn7F75.tmp','32'); DeleteFile('C:\Users\EXTRDF\AppData\Local\C6F47A18-1425730547-11E1-8856-B80F15C62CEF\snsyB400.tmp','32'); DeleteFile('C:\Users\EXTRDF\AppData\Roaming\C6F47A18-1425719531-11E1-8856-B80F15C62CEF\jnslC14A.tmp','32'); DeleteFile('C:\Users\EXTRDF\AppData\Roaming\C6F47A18-1425719531-11E1-8856-B80F15C62CEF\nsi3611.tmp','32'); DeleteFile('C:\Users\EXTRDF\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\EXTRDF\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Сделайте лог Check Browsers' LNK
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
А еще один лог, который я просил, где? И новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, Новые логи
- - - - -Добавлено - - - - -
Кстати, между прочим. Огромнейшее спасибо за помощь. Всё сделал как вы писали, помогло!
До сих пор не вижу этого логаСообщение от thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\users\extrdf\appdata\roaming\browsers\exe.emorh c.bat - Trojan-Clicker.BAT.Agent.az
- c:\users\extrdf\appdata\roaming\browsers\exe.erolp xei.bat - Trojan-Clicker.BAT.Agent.az
- c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\jnslc14a.tmp - not-a-virus:AdWare.Win32.Agent.hisa
- c:\users\extrdf\appdata\roaming\c6f47a18-1425719531-11e1-8856-b80f15c62cef\nsi3611.tmp - not-a-virus:AdWare.Win32.AdSvc.as
Уважаемый(ая) Kirill Popov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
