все сделал по этой теме http://virusinfo.info/showthread.php?t=181366 до сообщения Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
все файлы прилагаю
все сделал по этой теме http://virusinfo.info/showthread.php?t=181366 до сообщения Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
все файлы прилагаю
Уважаемый(ая) Serper, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ужас какой. Не люблю когда присылают такую простыню логов, которые никто не просил делать! А еще напишу, что чужие скрипты выполнять запрещено.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
я не выполнял чужие. как раз до скрипта дошел, его не выполнял.
- - - - -Добавлено - - - - -
Не люблю когда присылают такую простыню логов, которые никто не просил делать!
Хотел сократить вам время. Могу делать постепенно, как в форуме который в первом посте. Как вам удобнее.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\Windows\proxy.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\glitz\admin.exe',''); DeleteService('wsafd_1_10_0_19'); StopService('zokepyze'); StopService('WindowsMangerProtect'); StopService('jimocoso'); StopService('IHProtect Service'); StopService('fimevebo'); DeleteService('zokepyze'); DeleteService('WindowsMangerProtect'); DeleteService('jimocoso'); DeleteService('IHProtect Service'); DeleteService('fimevebo'); TerminateProcessByName('c:\programdata\bwinmanprob\winmanpro.exe'); QuarantineFile('c:\programdata\bwinmanprob\winmanpro.exe',''); TerminateProcessByName('c:\users\home\appdata\local\gmsd_ru_005010072\upgmsd_ru_005010072.exe'); TerminateProcessByName('c:\program files (x86)\minilite\protectservice.exe'); TerminateProcessByName('c:\users\home\appdata\local\temp\nsyb18f.tmp'); QuarantineFile('c:\users\home\appdata\local\temp\nsyb18f.tmp',''); TerminateProcessByName('c:\users\home\appdata\local\temp\nsx17b.tmp'); QuarantineFile('c:\users\home\appdata\local\temp\nsx17b.tmp',''); TerminateProcessByName('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\knssa9cb.tmp'); QuarantineFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\knssa9cb.tmp',''); TerminateProcessByName('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\jnsla396.tmp'); QuarantineFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\jnsla396.tmp',''); TerminateProcessByName('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\hnswfe55.tmp'); QuarantineFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\hnswfe55.tmp',''); TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010072\gmsd_ru_005010072.exe'); QuarantineFile('c:\program files (x86)\gmsd_ru_005010072\gmsd_ru_005010072.exe',''); DeleteFile('c:\program files (x86)\gmsd_ru_005010072\gmsd_ru_005010072.exe','32'); DeleteFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\hnswfe55.tmp','32'); DeleteFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\jnsla396.tmp','32'); DeleteFile('c:\program files (x86)\7a273500-1440334072-11b2-8000-b702b0eec681\knssa9cb.tmp','32'); DeleteFile('c:\users\home\appdata\local\temp\nsx17b.tmp','32'); DeleteFile('c:\users\home\appdata\local\temp\nsyb18f.tmp','32'); DeleteFile('c:\program files (x86)\minilite\protectservice.exe','32'); DeleteFile('c:\users\home\appdata\local\gmsd_ru_005010072\upgmsd_ru_005010072.exe','32'); DeleteFile('c:\programdata\bwinmanprob\winmanpro.exe','32'); DeleteFile('C:\Program Files (x86)\7A273500-1440334072-11B2-8000-B702B0EEC681\hnswFE55.tmp','32'); DeleteFile('C:\Program Files (x86)\MiniLite\ProtectService.exe','32'); DeleteFile('C:\Program Files (x86)\7A273500-1440334072-11B2-8000-B702B0EEC681\jnslA396.tmp','32'); DeleteFile('C:\ProgramData\BWinManProB\WinManPro.exe','32'); DeleteFile('C:\Program Files (x86)\7A273500-1440334072-11B2-8000-B702B0EEC681\knssA9CB.tmp','32'); DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010072'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010072.exe'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\Home\appdata\roaming\glitz\admin.exe','32'); DeleteFile('C:\Windows\proxy.exe','32'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
логи
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
лог
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
логи
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Homepage: user_pref("browser.startup.homepage","hxxp://searchis-su.ru"); CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Home\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx 2015-08-27 19:34 - 2015-08-27 19:35 - 00000000 ____D C:\Users\Все пользователи\pWinManProp 2015-08-27 19:34 - 2015-08-27 19:35 - 00000000 ____D C:\ProgramData\pWinManProp 2015-08-27 16:33 - 2015-08-29 17:45 - 00000000 ____D C:\Users\Все пользователи\BWinManProB 2015-08-27 16:33 - 2015-08-29 17:45 - 00000000 ____D C:\ProgramData\BWinManProB 2015-08-27 16:33 - 2015-08-27 19:34 - 00000124 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-08-27 16:33 - 2015-08-27 19:34 - 00000124 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-08-27 16:33 - 2015-08-27 18:14 - 00000000 ____D C:\Users\Все пользователи\update 2015-08-27 16:33 - 2015-08-27 18:14 - 00000000 ____D C:\ProgramData\update 2015-08-27 14:29 - 2015-08-30 12:23 - 00000000 ____D C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP 2015-08-23 18:56 - 2015-08-23 18:56 - 00000000 ____D C:\Users\Home\AppData\Roaming\MailProducts 2015-08-23 18:49 - 2009-06-11 03:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-08-23 18:47 - 2015-08-29 17:45 - 00000000 ____D C:\Program Files (x86)\7A273500-1440334072-11B2-8000-B702B0EEC681 2015-08-23 18:35 - 2015-08-23 18:35 - 00000000 ____D C:\Users\Home\AppData\Roaming\SPI 2015-08-23 20:27 - 2015-08-23 20:27 - 0613255 _____ (CMI Limited) C:\Users\Home\AppData\Local\nsdA43F.tmp 2015-08-26 08:52 - 2015-08-26 08:52 - 0613255 _____ (CMI Limited) C:\Users\Home\AppData\Local\nsk21DC.tmp 2015-08-26 09:47 - 2015-08-26 09:47 - 0613255 _____ (CMI Limited) C:\Users\Home\AppData\Local\nsn7953.tmp Task: {D45AD768-AF49-4099-B266-19F42E600175} - \Soft installer -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
лог
Логи в порядке.
Последний раз редактировалось mike 1; 02.09.2015 в 21:17.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
вы волшебник, спасибо большое вроде пока жизнидеятельности вируса не наблюдал. на какой кошелек веб мани скинуть денюжку, на ваш личный или на тот что указан в пожертвовании?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\gmsd_ru_005010072\gmsd_ru_005010072.exe - not-a-virus:AdWare.Win32.Eorezo.afob
- c:\users\home\appdata\roaming\glitz\admin.exe - Trojan.MSIL.Agent.fnfy ( DrWEB: Trojan.KillFiles.24781 )
- c:\windows\proxy.exe - not-a-virus:RiskTool.Python.Miner.b ( DrWEB: Tool.BtcMine.292 )
Уважаемый(ая) Serper, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.