периодически происходит установка программ таких как anyprotect,bing bar,CinemaPlus,Tencent и многих других удаление программ через панель управления не помогает через некоторое время происходит установка их
периодически происходит установка программ таких как anyprotect,bing bar,CinemaPlus,Tencent и многих других удаление программ через панель управления не помогает через некоторое время происходит установка их
Уважаемый(ая) stopettt, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\Users\дима\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\дима\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\дима\AppData\Local\gmsd_ru_005010007\upgmsd_ru_005010007.exe',''); QuarantineFile('C:\Users\дима\AppData\Local\32444335-1434833452-5034-5333-38EAA7DC3172\bnssE311.exe',''); DeleteService('TSSKX64'); DeleteService('TsDefenseBt'); DeleteService('QMUdisk'); DeleteService('innfd_1_10_0_14'); DeleteService('4587FBD2DBA6110D'); DeleteService('QQPCRTP'); StopService('mysirudy'); DeleteService('mysirudy'); DeleteService('globalUpdatem'); DeleteService('globalUpdate'); TerminateProcessByName('c:\users\дима\appdata\roaming\32444335-1434822604-5034-5333-38eaa7dc3172\knsm1ebf.tmpfs'); QuarantineFile('c:\users\дима\appdata\roaming\32444335-1434822604-5034-5333-38eaa7dc3172\knsm1ebf.tmpfs',''); DeleteFile('c:\users\дима\appdata\roaming\32444335-1434822604-5034-5333-38eaa7dc3172\knsm1ebf.tmpfs','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRtp.exe','32'); DeleteFile('C:\Users\дима\AppData\Roaming\32444335-1434822604-5034-5333-38EAA7DC3172\knsm1EBF.tmpfs','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TsDefenseBT64.sys','32'); DeleteFile('C:\ProgramData\TomorrowGames\TomorrowGames32.dll','32'); DeleteFile('C:\ProgramData\TomorrowGames\TomorrowGames64.dll','32'); DeleteFile('C:\Users\дима\AppData\Local\32444335-1434833452-5034-5333-38EAA7DC3172\bnssE311.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck'); DeleteFile('C:\Users\дима\AppData\Local\gmsd_ru_005010007\upgmsd_ru_005010007.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010007.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\Users\дима\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); DeleteFile('C:\Users\дима\AppData\Roaming\eTranslator\eTranslator.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-1-6.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-1-7.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-10_user.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-11.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-3.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-5.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-5_user.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-6.job','64'); DeleteFile('C:\Windows\Tasks\45108de3-03ce-4a70-a8ea-7e26a3593ea2-7.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-1-6.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-1-7.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-11.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-5.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-5_user.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-6.job','64'); DeleteFile('C:\Windows\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-7.job','64'); DeleteFile('C:\Windows\Tasks\5zrO4ImP.job','64'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\PXAQZQT1.job','64'); DeleteFile('C:\Windows\Tasks\RqW0V6tktppNH9NHyu.job','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-11','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-5','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-6','64'); DeleteFile('C:\Windows\system32\Tasks\59eb707e-56a2-4323-b64a-a47da98dece8-7','64'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64'); DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_14','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PXAQZQT1','64'); DeleteFile('C:\Windows\system32\Tasks\YMCLIEFHM','64'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
логи
Лог AdwCleaner где?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
отправил
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
...
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
вот
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [cpuminer] => C:\Windows\system32\cpuminer-gw64.exe C:\Windows\system32\cpuminer-gw64.exe HKU\S-1-5-21-972034756-1936462993-4227407988-1000\...\Run: [GoogleChromeAutoLaunch_6D85499C567F1E5C1DE5108D4195B222] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION URLSearchHook: HKU\S-1-5-21-972034756-1936462993-4227407988-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=efe668874fe645d51f21dad28a4f8032&text= <==== ATTENTION OPR Extension: (Shop and Save Up) - C:\Users\дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-06-20] OPR Extension: (CinemaPlus-4.5vV20.06) - C:\Users\дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-20] OPR Extension: (PromCodes) - C:\Users\дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-20] R2 zedepory; C:\Users\дима\AppData\Roaming\32444335-1434822604-5034-5333-38EAA7DC3172\hnsm5E27.tmp [166912 2015-06-20] () [File not signed] 2015-06-20 21:10 - 2015-06-20 21:10 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys 2015-06-20 21:10 - 2015-06-20 21:10 - 00038200 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys 2015-06-20 21:06 - 2015-06-20 21:06 - 00613255 _____ (CMI Limited) C:\Users\дима\AppData\Local\nsyF542.tmp 2015-06-20 21:06 - 2015-06-20 21:06 - 00613255 _____ (CMI Limited) C:\Users\дима\AppData\Local\nsyA478.tmp 2015-06-20 21:02 - 2015-06-21 07:34 - 00000000 ____D C:\Users\Все пользователи\TomorrowGames 2015-06-20 21:02 - 2015-06-21 07:34 - 00000000 ____D C:\ProgramData\TomorrowGames 2015-06-20 21:02 - 2015-06-20 21:02 - 00000000 ____D C:\Users\Все пользователи\19a87fa1ec024bbcbb41931263354405 2015-06-20 21:02 - 2015-06-20 21:02 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405 2015-06-20 20:53 - 2015-06-20 22:04 - 00000000 ____D C:\Users\дима\AppData\Local\32444335-1434833588-5034-5333-38EAA7DC3172 2015-06-20 20:50 - 2015-06-21 07:34 - 00000000 ____D C:\Users\дима\AppData\Roaming\32444335-1434822604-5034-5333-38EAA7DC3172 2015-06-20 20:49 - 2015-06-20 20:49 - 00000000 ____D C:\Users\дима\AppData\Local\ExtensionInstaller_14 2015-06-20 20:48 - 2015-06-20 20:48 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension 2015-06-20 20:47 - 2015-06-20 21:28 - 00001086 __RSH C:\Users\Все пользователи\ntuser.pol 2015-06-20 20:47 - 2015-06-20 21:28 - 00001086 __RSH C:\ProgramData\ntuser.pol 2015-06-20 20:47 - 2015-06-20 20:47 - 00000008 __RSH C:\Users\дима\ntuser.pol 2015-06-20 20:47 - 2015-04-19 12:31 - 00815288 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-04-20 17:05 - 2015-04-20 17:05 - 01579520 _____ () C:\Users\дима\AppData\Roaming\RqW0V6tktppNH9NHyu.exe 2015-04-20 17:05 - 2015-04-20 17:05 - 01579520 _____ () C:\Users\дима\AppData\Roaming\5zrO4ImP.exe 2015-04-19 15:20 - 2015-04-19 15:20 - 00005872 _____ C:\Users\дима\AppData\Roaming\RqW0V6tktppNH9NHyu 2015-04-19 15:20 - 2015-04-19 15:20 - 00005872 _____ C:\Users\дима\AppData\Roaming\5zrO4ImP 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\дима\AppData\Roaming\5zrO4ImP 2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\дима\AppData\Roaming\5zrO4ImP.exe 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\дима\AppData\Roaming\RqW0V6tktppNH9NHyu 2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\дима\AppData\Roaming\RqW0V6tktppNH9NHyu.exe 2015-06-20 21:23 - 2015-06-20 21:23 - 0613255 _____ (CMI Limited) C:\Users\дима\AppData\Local\nskAC74.tmp 2015-06-20 21:06 - 2015-06-20 21:06 - 0613255 _____ (CMI Limited) C:\Users\дима\AppData\Local\nsyA478.tmp 2015-06-20 21:06 - 2015-06-20 21:06 - 0613255 _____ (CMI Limited) C:\Users\дима\AppData\Local\nsyF542.tmp Task: {3F72587F-55A5-4331-8F2A-B192F751E1C7} - \YMCLIEFHM No Task File <==== ATTENTION Task: {53058E5E-23B9-487B-8C57-F0ED914D4B84} - \ExtensionInstallerX_14 No Task File <==== ATTENTION Task: {CD3C8FC3-4154-4162-A994-F1B80695243E} - \Soft installer No Task File <==== ATTENTION FirewallRules: [{31D2D63E-C70D-4D3B-B6FF-99730D61ADF6}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe FirewallRules: [{A89FE816-0465-4C77-A323-DFA034531D98}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{F74FEEBA-335F-40B9-90B4-887EF245DCBC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe C:\Program Files (x86)\Crossbrowse C:\program files (x86)\common files\tencent EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
отправил
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В браузере отключите все расширения. Проверьте проблему.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) stopettt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.