Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Istarsurf / Anyprotect / Smartveb [not-a-virus:AdWare.Win32.AdSvc.ax ] (заявка № 179293)

  1. #1
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34

    Thumbs up Istarsurf / Anyprotect / Smartveb [not-a-virus:AdWare.Win32.AdSvc.ax ]

    Добрый вечер, сегодня с rusfolder автозагрузчиком скачалось много дряни, куча софта и плагины для браузеров, некий istasurf, вирусный баннер anyprotect. и другие программы, название некоторых не помню. Сначала я просто начал удалять скачанные (при удаление одной из них появился вирусный баннер), потом стал ругаться касперский, вот что он сделал:

    Удалил:
    Trojan.Win32.Inject.uoec

    Здесь пишет файл больше не доступен:
    not-a-virus.AdWare.Win32.Eorezo.jib

    На лечение отправил много таких: (в течение 3х часов после скачивания автозагрузчика)
    HEUR.Trojan.WinLNK.StartPAge.gena
    картинка:
    P4ZeKIPNEJo.jpg

    Dr.web cureit отправил в карантин следующее:

    \device\harddiskvolume2\users\user\appdata\local\s martweb\smartwebhelper.exe - quarantined
    \device\harddiskvolume2\programdata\windowsmangerp rotect\protectwindowsmanager.exe - quarantined
    C:\Users\User\AppData\Local\Temp\{41E70AC4-A068-4C4D-9874-858B7B287130}\iobitdownloader_monster.exe - quarantined
    C:\Users\User\AppData\Local\Temp\{1DECCB3A-74D9-4C21-A330-4F421136CE30}\ZaxarSetup.4.001.31.exe - quarantined

    Браузеры с панели пуск перестали запускаться, при запуске пишет мол "удален", хотя через пуск вроде как работает, в интернет эксплорере домашняя ссылка стала istarsurf

    Вопрос, что делать и как удалить следующие приложения (без подключения к интернету Anyprotect удаляться не хотел)
    prog.jpg


    Заранее Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) AlekseyOtl, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\users\user\appdata\roaming\1e002fe0-1426013611-d900-e43d-485b3982c6ec\nsu9bfb.tmp');
     TerminateProcessByName('C:\Program Files\Core Temp\Core Temp.exe');
     TerminateProcessByName('c:\users\user\appdata\roaming\1e002fe0-1426013611-d900-e43d-485b3982c6ec\jnsfd644.tmp');
     StopService('pegesore');
     QuarantineFile('C:\Users\User\AppData\Roaming\Yontoo\YontooDesktop.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Temp\42226678FdOh','');
     QuarantineFile('c:\users\user\appdata\roaming\1e002fe0-1426013611-d900-e43d-485b3982c6ec\nsu9bfb.tmp','');
     QuarantineFile('c:\users\user\appdata\roaming\1e002fe0-1426013611-d900-e43d-485b3982c6ec\jnsfd644.tmp','');
     DeleteFile('c:\users\user\appdata\roaming\1e002fe0-1426013611-d900-e43d-485b3982c6ec\nsu9bfb.tmp','32');
     DeleteFile('C:\Users\User\AppData\Roaming\1E002FE0-1426013611-D900-E43D-485B3982C6EC\jnsfD644.tmp','32');
     DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
     DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Temp\42226678FdOh','32');
     DeleteFile('C:\Users\User\AppData\Roaming\ASPackage\ASPackage.exe','32');
     DeleteFile('C:\Users\User\AppData\Roaming\Yontoo\YontooDesktop.exe','32');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
     DeleteFile('C:\Windows\Tasks\PC SpeedUp Service Deactivator.job','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
     DeleteFile('C:\Windows\system32\Tasks\At1','64');
     DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator','64');
     DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
     DeleteFile('C:\Windows\system32\Tasks\{ACD68F1B-0C5C-46FB-B900-31B35B840EC3}','64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ExpressFiles','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\42226787','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yontoo Desktop','command');
     DeleteService('ssnfd');
     DeleteService('qrnfd_1_10_0_9');
     DeleteService('pegesore');               
    BC_ImportAll;
    ExecuteSysClean;    
    BC_Activate;    
     ExecuteRepair(3);
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Сделал, в avz осталась строчка касаемо приложения smartveb

    Еще вопрос, в AdwCleaner после скана нажал очистка, но она собственно из-за какой-то ошибки отменилась, так что по факту было только сканирование. Отчет прикрепил, карантин закачал.

    p.s тут центр обновления Windows закричал, после перезагрузки надо какие либо логи заново сделать и прикрепить?
    Вложения Вложения
    Последний раз редактировалось AlekseyOtl; 11.03.2015 в 03:18.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #6
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Просканировал, начал очищать, при очистке программа закрылась, прикрепил имеющиеся логи на момент сканирования и принтскрин с ошибкой.

    - - - - -Добавлено - - - - -

    Проделал эту же операцию спустя несколько часов, все сработало, логи прикрепил. В программах компонентах из всего установленного в тот день софта осталось только некое "Time tasks", все остальное удалилось. В диспетчере устройств осталось некое iobitdownloader_monster.exe C:\Users\User\AppData\Local\Temp\47168
    с ним что делать?

    Спасибо.
    Изображения Изображения
    • Тип файла: jpg error.jpg (60.5 Кб, 4 просмотров)
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #8
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Отсканировал, логи прикрепил.
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      () C:\Program Files\Core Temp\Core Temp.exe
      HKLM-x32\...\Run: [] => [X]
      HKU\S-1-5-21-116067113-3592648392-98070925-1000\...\Run: [AdobeBridge] => [X]
      HKU\S-1-5-21-116067113-3592648392-98070925-1000\...\Policies\Explorer: [] 
      HKU\S-1-5-21-116067113-3592648392-98070925-1000\...\Run: [PCHDPlayer] => C:\Program Files (x86)\pchd\PCHDPlayer.exe
      GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
      HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
      HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
      HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
      HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
      HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
      HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
      HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
      HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
      HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
      HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
      HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
      HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
      HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
      HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
      HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
      BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-07-14]
      CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1426014561&from=face&uid=ST31000528AS_9VP7K2Q4XXXX9VP7K2Q4
      CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1426014561&from=face&uid=ST31000528AS_9VP7K2Q4XXXX9VP7K2Q4"
      CHR DefaultSearchKeyword: Default -> istartsurf
      StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1426014561&from=face&uid=ST31000528AS_9VP7K2Q4XXXX9VP7K2Q4
      S2 hedyleho; C:\Users\User\AppData\Roaming\1E002FE0-1426013611-D900-E43D-485B3982C6EC\nsu9BFB.tmp [X]
      2015-03-10 22:28 - 2015-03-10 22:28 - 00613255 _____ (CMI Limited) C:\Users\User\AppData\Local\nslE60C.tmp
      2015-03-10 22:13 - 2015-03-10 22:13 - 00000258 __RSH () C:\Users\User\ntuser.pol
      2015-03-10 22:09 - 2015-03-10 22:09 - 00613255 _____ (CMI Limited) C:\Users\User\AppData\Local\nsb5F47.tmp
      2015-03-10 22:07 - 2015-03-10 22:27 - 00000000 ____D () C:\Program Files (x86)\gmsd_ru_159
      2015-03-10 21:54 - 2015-03-10 21:54 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      2015-03-10 21:54 - 2015-03-10 21:54 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      2015-03-10 21:53 - 2015-03-11 02:20 - 00000000 ____D () C:\Users\User\AppData\Roaming\1E002FE0-1426013611-D900-E43D-485B3982C6EC
      2015-03-10 21:50 - 2015-03-10 21:50 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
      2015-03-10 21:50 - 2015-03-10 21:50 - 00000258 __RSH () C:\ProgramData\ntuser.pol
      Task: {3E620AFB-5ED7-4E50-A22B-D62439D0B2A7} - \At1 No Task File <==== ATTENTION
      Task: {45ADF26C-50D8-4151-929F-F3A936C7304C} - \{ACD68F1B-0C5C-46FB-B900-31B35B840EC3} No Task File <==== ATTENTION
      AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
      AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
      AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
      AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
      AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A
      AlternateDataStreams: C:\Users\User\Desktop\ded.jpeg:3or4kl4x13tuuug3Byamue2s4b
      AlternateDataStreams: C:\Users\User\Desktop\ded.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:05EE1EEF
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A
      Deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\42226787
      Deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1c862e8e6ec41b1905c10f9293137509e57e
      Deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ExpressFiles
      Deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yontoo Desktop
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #10
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Сделал, прикрепил.

    Так же хотел добавить, не знаю имеет ли это отношение к делу, на момент моего сканирования в Farbar Recovery Scan Tool процесс iobitdownloader_monster.exe был выключен. И вопрос, стоит ли чистить/исправлять реестр через утилиту CCleaner?

    Спасибо.
    Изображения Изображения
    Вложения Вложения

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    И вопрос, стоит ли чистить/исправлять реестр через утилиту CCleaner?
    Пока думаю не стоит. Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #12
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Пока думаю не стоит. Что с проблемой?
    Все браузеры работают нормально, mozila стала открываться чистой, не работающий полгода как google chrome тоже заработал, с opera все в порядке, весь софт удалился, осталось только установленное тем же днем Time Tasks и смущающий меня процессор iobitdownloader_monster.exe , т.к в первый день его вроде как Dr.web отправил в карантин

    C:\Users\User\AppData\Local\Temp\{41E70AC4-A068-4C4D-9874-858B7B287130}\iobitdownloader_monster.exe - quarantined
    когда через диспетчер задач жму "открыть место хранения файла" , меня отправляет на папку с названием из пяти цифр здесь C:\Users\User\AppData\Local\Temp Причем каждое включение компьютера меняет комбинацию цифр, сейчас C:\Users\User\AppData\Local\Temp\96537
    Последний раз редактировалось AlekseyOtl; 12.03.2015 в 20:08.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Еще раз логи Fаrbar сделайте
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. Это понравилось:


  17. #14
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Сделал, прикрепил.

    FRST.txt залил на яндекс диск т.к лимит загружаемых файлов здесь был превышен.
    https://yadi.sk/i/IdS36DIRfDKgv
    Вложения Вложения

  18. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      C:\Users\User\AppData\Local\Temp\40959
      2015-03-12 18:03 - 2015-03-12 18:03 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
      2015-03-12 18:03 - 2015-03-12 18:03 - 00000008 __RSH () C:\Users\User\ntuser.pol
      2015-03-12 18:03 - 2015-03-12 18:03 - 00000008 __RSH () C:\ProgramData\ntuser.pol
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #16
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    После ребута в процессах опять висел iobitinstaller, но уже по адресу C:\Users\User\AppData\Local\IObit installer

    Может мне просто его удалить оттуда?

    Еще, когда открыл папку Local, нашел там странную папку с названием 1E002FE0-1426024712-D900-E43D-485B3982C6EC, решил ее проверить касперским, он нашел в ней
    UDS.DangerousObject.Multi.Generetic
    сейчас будет лечить с перезагрузкой компьютера.

    Папка была создана тем же 10м марта 22.00 приблизительно, при перезагрузке вылетело несколько ошибок, честно говоря не успел прочитать, что-то windows не может "название файла".dll После ребута папка стала пустой.

    Еще хотел поинтересоваться, запустил скан AVZ, эти логи могут быть из-за вирусов, или это в пределах нормы:
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateSection (263) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtCreateThread (266) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtCreateThreadEx (267) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtMakeTemporaryObject (345) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtQueueApcThread (450) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtQueueApcThreadEx (451) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtSetContextThread (497) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtSetSystemInformation (531) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtSetSystemTime (533) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtUnmapViewOfSection (566) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dll:NtWriteVirtualMemory (599) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwCreateSection (1515) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwCreateThread (151 перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwCreateThreadEx (1519) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwMakeTemporaryObject (1595) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwQueueApcThread (1700) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwQueueApcThreadEx (1701) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwSetContextThread (1747) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwSetSystemInformation (1781) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwSetSystemTime (1783) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwUnmapViewOfSection (1816) перехвачена, метод CodeHijack (метод не определен)
    Функция ntdll.dllwWriteVirtualMemory (1849) перехвачена, метод CodeHijack (метод не определен)

    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    9. Мастер поиска и устранения проблем
    >> Нарушение ассоциации SCR файлов
    Изображения Изображения
    • Тип файла: jpg kas.jpg (49.9 Кб, 2 просмотров)
    Вложения Вложения
    Последний раз редактировалось AlekseyOtl; 13.03.2015 в 17:53.

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    После ребута в процессах опять висел iobitinstaller, но уже по адресу
    Если найдете в папке деинсталлятор от этой программы, то можете ее удалить, если не получится, то можете вручную удалить папку от этой программы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. Это понравилось:


  22. #18
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Если найдете в папке деинсталлятор от этой программы, то можете ее удалить, если не получится, то можете вручную удалить папку от этой программы.
    Сначала удалил .exe в папке Temp и папку из Programm Files, после ребута появился вновь по адресу C:\Users\User\AppData\Local\IObit installer , удалил там и после ребута впервые он не появился, надеюсь и не появится.

    Так получилось, что я отредактировал пред. сообщение через 2 минуты после вашего ответа, не посмотрев ваш ответ, не могли бы вы ответить про лог AVZ?
    В целом вроде все было решено, спасибо вам больше за помощь, очень выручили, надо ли мне скинуть еще какие логи для отчета. Спасибо еще раз.

  23. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Еще хотел поинтересоваться, запустил скан AVZ, эти логи могут быть из-за вирусов, или это в пределах нормы:
    Такие записи будут на любой системе. Это нормальные записи.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  24. Это понравилось:


  25. #20
    Junior Member Репутация
    Регистрация
    10.03.2015
    Сообщений
    19
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Такие записи будут на любой системе. Это нормальные записи.


    Понял, спасибо. Хотел еще спросить, если dr.web находит файлы из карантина adwcleaner с разрешением exe.vir как опасные их стоит пропускать в нем? И можно ли уже чистить реестр через CCLeaner, вы писали "пока не стоит", но вроде проблема решена, по крайне мере заявленная мною.

  • Уважаемый(ая) AlekseyOtl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 14.03.2015, 01:41
    2. Ответов: 17
      Последнее сообщение: 08.03.2015, 17:53
    3. Карантин 27870C716757F0C3AE5391CB913122A9 [not-a-virus:AdWare.Win32.ConvertAd.vnx, not-a-virus:NetTool.Win64.NetFilter.k ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 06.03.2015, 20:34
    4. Ответов: 9
      Последнее сообщение: 04.12.2014, 10:41
    5. AnyProtect как удалить + вирусни на компе уйма [not-a-virus:AdWare.Win32.Kranet.g ]
      От Дмитрий Максимов в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.09.2014, 21:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00987 seconds with 20 queries