случайно скачала кучу вирусного мусора от которого невозможно избавиться. сколько не удаляй всё равно возвращается. в браузере всплывает куча рекламы и mystartseach. компьютер тормозит и повсюду эта реклама! Взываю о помощи. Заранее спасибо!
случайно скачала кучу вирусного мусора от которого невозможно избавиться. сколько не удаляй всё равно возвращается. в браузере всплывает куча рекламы и mystartseach. компьютер тормозит и повсюду эта реклама! Взываю о помощи. Заранее спасибо!
Уважаемый(ая) Mabel, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\user\appdata\roaming\x11\engine.exe',''); QuarantineFile('C:\Users\user\appdata\local\kometa\kometaup.exe',''); QuarantineFile('C:\Users\user\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\imagehlp.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\проверка.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\wpdbusenum.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\onexui.exe',''); QuarantineFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\globalUpdateUpdate\globalupdate.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\SDAwWUbCFbcDgNdPtQOVFxqCvRO.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\vzKxk8NvGxFBGMif3TM.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\ZQuej90mNnrdKbzBxGSKUpgTTfF.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\Rljz1d5qT.exe',''); DelBHO('{1F91A9A1-01BA-4c81-863D-3BA0751E1419}'); DeleteService('comyninu'); DeleteService('hyverumu'); DeleteService('sicubehy'); QuarantineFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\knswA013.tmp',''); QuarantineFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\jnsj56A6.tmp',''); QuarantineFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\hnsz6FB4.tmp',''); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); SetServiceStart('IHProtect Service', 4); DeleteService('IHProtect Service'); QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll',''); QuarantineFile('C:\Program Files\MiuiTab\BrowserAction.dll',''); QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll',''); QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchCH.dll',''); QuarantineFile('c:\users\user\appdata\local\основные.exe',''); TerminateProcessByName('c:\users\user\appdata\local\gmsd_re_005010057\upgmsd_re_005010057.exe'); QuarantineFile('c:\users\user\appdata\local\gmsd_re_005010057\upgmsd_re_005010057.exe',''); TerminateProcessByName('c:\programdata\3winmanpro3\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\3winmanpro3\protectwindowsmanager.exe',''); TerminateProcessByName('c:\program files\miuitab\protectservice.exe'); QuarantineFile('c:\program files\miuitab\protectservice.exe',''); TerminateProcessByName('c:\program files\miuitab\hpnotify.exe'); QuarantineFile('c:\program files\miuitab\hpnotify.exe',''); TerminateProcessByName('c:\program files\gmsd_re_005010057\gmsd_re_005010057.exe'); QuarantineFile('c:\program files\gmsd_re_005010057\gmsd_re_005010057.exe',''); TerminateProcessByName('c:\users\user\appdata\roaming\cppredistx86.exe'); QuarantineFile('c:\users\user\appdata\roaming\cppredistx86.exe',''); TerminateProcessByName('c:\program files\miuitab\cmdshell.exe'); QuarantineFile('c:\program files\miuitab\cmdshell.exe',''); DeleteFile('c:\program files\miuitab\cmdshell.exe','32'); DeleteFile('c:\users\user\appdata\roaming\cppredistx86.exe','32'); DeleteFile('c:\program files\gmsd_re_005010057\gmsd_re_005010057.exe','32'); DeleteFile('c:\program files\miuitab\hpnotify.exe','32'); DeleteFile('c:\program files\miuitab\protectservice.exe','32'); DeleteFile('c:\programdata\3winmanpro3\protectwindowsmanager.exe','32'); DeleteFile('c:\users\user\appdata\local\gmsd_re_005010057\upgmsd_re_005010057.exe','32'); DeleteFile('C:\Program Files\MiuiTab\BrowerWatchCH.dll','32'); DeleteFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','32'); DeleteFile('C:\Program Files\MiuiTab\BrowserAction.dll','32'); DeleteFile('C:\Program Files\MiuiTab\IeWatchDog.dll','32'); DeleteFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\hnsz6FB4.tmp','32'); DeleteFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\jnsj56A6.tmp','32'); DeleteFile('C:\Program Files\4990E680-1439155386-11DE-9B24-00269E15FE1A\knswA013.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010057'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_re_005010057.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svokqypkmm'); DeleteFile('C:\Users\user\AppData\Roaming\Rljz1d5qT.exe','32'); DeleteFile('C:\Windows\Tasks\Rljz1d5qT.job','32'); DeleteFile('C:\Windows\Tasks\SDAwWUbCFbcDgNdPtQOVFxqCvRO.job','32'); DeleteFile('C:\Windows\Tasks\vzKxk8NvGxFBGMif3TM.job','32'); DeleteFile('C:\Windows\Tasks\ZQuej90mNnrdKbzBxGSKUpgTTfF.job','32'); DeleteFile('C:\Users\user\AppData\Roaming\ZQuej90mNnrdKbzBxGSKUpgTTfF.exe','32'); DeleteFile('C:\Users\user\AppData\Roaming\vzKxk8NvGxFBGMif3TM.exe','32'); DeleteFile('C:\Users\user\AppData\Roaming\SDAwWUbCFbcDgNdPtQOVFxqCvRO.exe','32'); DeleteFile('C:\Program Files\RCP\systweakasp.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ASP','32'); DeleteFile('C:\Windows\system32\Tasks\globalUpdate Update Service (globalUpdate) 1.78.10','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\globalUpdateUpdate\globalupdate.exe','32'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','32'); DeleteFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Rljz1d5qT','32'); DeleteFile('C:\Windows\system32\Tasks\SDAwWUbCFbcDgNdPtQOVFxqCvRO','32'); DeleteFile('C:\Windows\system32\Tasks\vzKxk8NvGxFBGMif3TM','32'); DeleteFile('C:\Windows\system32\Tasks\ZQuej90mNnrdKbzBxGSKUpgTTfF','32'); DeleteFile('C:\Users\user\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1D262E06-7F64-4E7C-BA6D-EF75D54D4750}','32'); DeleteFile('C:\Users\user\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32'); DeleteFile('C:\Users\user\appdata\local\kometa\kometaup.exe','32'); DeleteFile('C:\Users\user\appdata\roaming\x11\engine.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин отправила
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
Удалите в МВАМ все, кроме
Код:Процессы: 1 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2928, , [8b670106464571c5991390d9db2546ba] Файлы: 347 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [8b670106464571c5991390d9db2546ba], PUP.HackTool, C:\Program Files\Microsoft Office\activator.exe, , [569ca364fd8ecf670cc364650ff2b34d], Trojan.Downloader, C:\TCPU56\install\Icons\icon.icl, , [de142bdc6e1d2d099dc23a3b60a0fe02], PUP.WirelessNetworkTool, C:\TCPU56\Programm\Nirsoft\WirelessNetView.exe, , [c82a6b9cb9d269cd5eb94b14f60f7090], PUP.OperaPasswordTool, C:\TCPU56\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe, , [ac46c2458605f145cb4dd38c6f96d828], Trojan.KillAV, C:\TCPU56\Programm\SFX Tool\GUI_7zS.exe, , [08eaff08a1eae74f1982b26dfa0be21e], Trojan.Proxy.CC, C:\TCPU56\Programm\CCProxy\CCProxy.dll, , [6191cb3cd8b39f97a8abcdea03fda060], PUP.Optional.CCProxy, C:\TCPU56\Programm\CCProxy\CCProxy.exe, , [e012c146256605319114c69152ae1ae6], Spyware.Password.HL, C:\TCPU56\Programm\Multi_Password_Recovery\HookLib.dll, , [ad457097c7c4c96d36bb42165ba76898], RiskWare.MPR, C:\TCPU56\Programm\Multi_Password_Recovery\MPR.exe, , [c42ea364a2e9c4723f01933728d9669a], Trojan.StartPage.SMR, C:\TCPU56\Programm\DrWeb\program files\drupdate.exe, , [896915f2038855e188f7b30859a73dc3], HackTool, C:\TCPU56\Programm\WPA_KILL\CRYPT.DLL, , [24ce6e99e5a6b086df0dc1cb61a14db3],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделала, но в браузерах всё-равно куча мусора который не удаляется и постоянно сбои происходят
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
1. Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\kbdsg.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\Google\служба.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\NVIDIAUpdate\mfc100kor.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\onexui.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\wmdrmsdk.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\WindowsSearch\windows.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\проверка.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\imagehlp.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\журналы.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\wpdbusenum.exe',''); BC_ImportAll; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
2. Сделайте лог CheckBrowsers' Lnk
3. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: HKU\S-1-5-21-3405540228-1331487104-1514578469-1000\...\Run: [DriverMax_RESTART] => [X] Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2013-07-13] ShortcutTarget: Punto Switcher.lnk -> D:\failes\Punto Switcher\punto.exe (No File) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3405540228-1331487104-1514578469-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-12-15] CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2015-07-25] CHR Extension: (VK scrobbler) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fddcgfefplodcggebdfbddbmfgmaeeeo [2013-12-22] CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml CHR HKU\S-1-5-21-3405540228-1331487104-1514578469-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml OPR Extension: (SuperMegaBest.com) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-12-16] OPR Extension: (Ultimate Discounter) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-09] 2015-08-10 01:45 - 2015-08-10 01:45 - 00000000 ___DC C:\Program Files\predm 2015-08-10 01:43 - 2015-08-10 01:53 - 00000000 ____D C:\Users\user\AppData\Roaming\systweak 2015-08-10 00:27 - 2015-08-10 12:40 - 00000000 ___DC C:\Program Files\23a45491-c09e-4201-9969-fc162e472fd5 2015-08-10 00:26 - 2015-08-10 19:54 - 00000000 ___DC C:\Program Files\globalUpdate 2015-08-10 00:26 - 2015-08-10 12:23 - 00000004 _____ C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7 2015-08-10 00:23 - 2009-06-11 00:39 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\user\AppData\Roaming\Rljz1d5qT 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\user\AppData\Roaming\SDAwWUbCFbcDgNdPtQOVFxqCvRO 2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\user\AppData\Roaming\vzKxk8NvGxFBGMif3TM 2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\user\AppData\Roaming\ZQuej90mNnrdKbzBxGSKUpgTTfF Task: {0BD61ED1-BDF4-4C03-8B59-E92F79D3F850} - \globalUpdate Update Service (globalUpdate) 1.78.10 -> No File <==== ATTENTION Task: {873849BE-B534-49C3-9943-945762A021F3} - \nethost task -> No File <==== ATTENTION Task: {B3F223E4-090C-4C94-98E4-FB2E01E6A388} - \ASP -> No File <==== ATTENTION Task: {F3A1A2CA-E211-4AC5-B89D-8F49BD5A6D1C} - \LaunchSignup -> No File <==== ATTENTION Task: {F463789E-5FF0-4FAF-8C64-3F6FE28C8BCF} - \{1D262E06-7F64-4E7C-BA6D-EF75D54D4750} -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:58A5270D AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин отправила
Теперь подождем ответа из вирлаба
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 111
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\gmsd_re_005010057\gmsd_re_005010057.exe - not-a-virus:AdWare.Win32.Eorezo.abnt
- c:\program files\miuitab\iewatchdog.dll - not-a-virus:AdWare.Win32.ELEX.bd ( DrWEB: Adware.Mutabaha.120 )
- c:\users\user\appdata\local\gmsd_re_005010057\upgm sd_re_005010057.exe - not-a-virus:AdWare.Win32.Eorezo.afob
- c:\users\user\appdata\local\kometa\kometaup.exe - not-a-virus:Downloader.Win32.Agent.ebdj ( BitDefender: Gen:Variant.Graftor.165927 )
- c:\users\user\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )
- c:\users\user\appdata\roaming\cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cjzy ( AVAST4: Win32:Agent-ATWQ [Trj] )
- c:\users\user\appdata\roaming\sdawwubcfbcdgndptqov fxqcvro.exe - not-a-virus:WebToolbar.Win32.CroRi.fte
- c:\users\user\appdata\roaming\vzkxk8nvgxfbgmif3tm. exe - not-a-virus:WebToolbar.Win32.CroRi.fte
- c:\users\user\appdata\roaming\x11\engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo ( DrWEB: Tool.BtcMine.479, BitDefender: Trojan.Generic.12296710 )
Уважаемый(ая) Mabel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.