и какие-то ненужные программы установлены
и какие-то ненужные программы установлены
Уважаемый(ая) pda, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files\gmsd_ru_005010073\gmsd_ru_005010073.exe'); TerminateProcessByName('c:\program files\gmsd_ru_025010073\gmsd_ru_025010073.exe'); TerminateProcessByName('c:\program files\d7f59000-1440756811-0000-0000-000000000000\hnsi94f7.tmp'); TerminateProcessByName('c:\program files\d7f59000-1440756811-0000-0000-000000000000\knsi35df.tmpfs'); TerminateProcessByName('c:\users\nata\appdata\local\temp\nsma6ce.tmp'); TerminateProcessByName('c:\users\nata\appdata\local\temp\nsmb0dc.tmp'); TerminateProcessByName('c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe'); TerminateProcessByName('c:\users\nata\appdata\local\gmsd_ru_025010073\upgmsd_ru_025010073.exe'); TerminateProcessByName('c:\users\nata\appdata\local\smartweb\smartwebhelper.exe'); TerminateProcessByName('c:\program files\baidu\pps.exe'); TerminateProcessByName('c:\program files\ciplus-4.5vv27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-10.exe'); TerminateProcessByName('c:\program files\ciplus-4.5vv27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-6.exe'); StopService('rerofyky'); StopService('totyseku'); QuarantineFileF('c:\program files\gmsd_ru_005010073', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFileF('c:\program files\wordsurfer_1.10.0.19', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFileF('c:\users\nata\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFileF('C:\Program Files\CiPlus-4.5vV27.08', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFile('C:\Users\Nata\appdata\local\smartweb\__u.exe', ''); QuarantineFile('C:\Program Files\CiPlus-4.5vV27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-7.exe', ''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', ''); QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', ''); QuarantineFile('c:\vkontaktedj\yoplayer.exe', ''); QuarantineFile('c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe', ''); QuarantineFile('c:\users\nata\appdata\local\smartweb\smartwebhelper.exe', ''); QuarantineFile('c:\program files\baidu\pps.exe', ''); QuarantineFile('c:\windows\system32\cpm.exe', ''); QuarantineFile('c:\program files\ciplus-4.5vv27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-10.exe', ''); QuarantineFile('c:\program files\ciplus-4.5vv27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-6.exe', ''); QuarantineFile('c:\program files\gmsd_ru_005010073\gmsd_ru_005010073.exe', ''); QuarantineFile('c:\program files\gmsd_ru_025010073\gmsd_ru_025010073.exe', ''); QuarantineFile('c:\program files\d7f59000-1440756811-0000-0000-000000000000\hnsi94f7.tmp', ''); QuarantineFile('c:\program files\d7f59000-1440756811-0000-0000-000000000000\knsi35df.tmpfs', ''); QuarantineFile('c:\users\nata\appdata\local\temp\nsma6ce.tmp', ''); QuarantineFile('c:\users\nata\appdata\local\temp\nsmb0dc.tmp', ''); QuarantineFile('c:\users\nata\appdata\local\gmsd_ru_025010073\upgmsd_ru_025010073.exe', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\Math.dll', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\nsCBHTML5.dll', ''); QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', ''); QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.bat', ''); QuarantineFile('C:\Users\Nata\AppData\Local\gmsd_ru_005010073\upgmsd_ru_005010073.exe', ''); QuarantineFile('C:\Users\Nata\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); QuarantineFile('C:\Users\Nata\AppData\Roaming\zNARQprpk7eOBzwi6AD.exe', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6ANKW3ZD\dl[1].htm', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6MWMH2BX\dl[1].htm', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J8FMNIMA\dl[1].htm', ''); QuarantineFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\blowfish.dll', ''); DeleteFile('C:\Program Files\CiPlus-4.5vV27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-6.exe', '32'); DeleteFile('c:\program files\ciplus-4.5vv27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-10.exe', '32'); DeleteFile('c:\program files\baidu\pps.exe', '32'); DeleteFile('c:\users\nata\appdata\local\smartweb\smartwebhelper.exe', '32'); DeleteFile('c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe', '32'); DeleteFile('C:\Windows\Tasks\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-7.job', '32'); DeleteFile('C:\Windows\Tasks\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-6.job', '32'); DeleteFile('C:\Program Files\CiPlus-4.5vV27.08\5526d4d8-1b4c-47a1-b4f6-135f7c7d8544-1-7.exe', '32'); DeleteFile('C:\Windows\Tasks\zNARQprpk7eOBzwi6AD.job', '32'); DeleteFile('c:\program files\gmsd_ru_005010073\gmsd_ru_005010073.exe', '32'); DeleteFile('c:\program files\gmsd_ru_025010073\gmsd_ru_025010073.exe', '32'); DeleteFile('c:\program files\d7f59000-1440756811-0000-0000-000000000000\hnsi94f7.tmp', '32'); DeleteFile('c:\program files\d7f59000-1440756811-0000-0000-000000000000\knsi35df.tmpfs', '32'); DeleteFile('c:\users\nata\appdata\local\temp\nsma6ce.tmp', '32'); DeleteFile('c:\users\nata\appdata\local\temp\nsmb0dc.tmp', '32'); DeleteFile('c:\users\nata\appdata\local\gmsd_ru_025010073\upgmsd_ru_025010073.exe', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\Math.dll', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\nsCBHTML5.dll', '32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '32'); DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.bat', '32'); DeleteFile('C:\Users\Nata\AppData\Local\gmsd_ru_005010073\upgmsd_ru_005010073.exe', '32'); DeleteFile('C:\Users\Nata\AppData\Roaming\Browsers\exe.erolpxei.bat', '32'); DeleteFile('C:\Users\Nata\AppData\Roaming\zNARQprpk7eOBzwi6AD.exe', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6ANKW3ZD\dl[1].htm', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6MWMH2BX\dl[1].htm', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J8FMNIMA\dl[1].htm', '32'); DeleteFile('C:\Users\Nata\AppData\Local\Temp\nsxE16A.tmp\blowfish.dll', '32'); ExecuteFile('schtasks.exe', '/delete /TN "zNARQprpk7eOBzwi6AD.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "zNARQprpk7eOBzwi6AD" /F', 0, 15000, true); DeleteService('rerofyky'); DeleteService('totyseku'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010073'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_025010073'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010073.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_025010073.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Отчет adwcleaner
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Отчеты
свежий лог AdwCleaner (by Xplode)
Просто трижды запускали -
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Все три раза уходил в перезагрузку и нужный файл не создавался
Видимо, ссылка
http://virusinfo.info/virusdetector/...FBD1D91B8BFB3C
Последний раз редактировалось pda; 03.09.2015 в 19:57.
Получилась ссылку прикрепили в предыдущем сообщении
http://virusinfo.info/virusdetector/...FBD1D91B8BFB3C
Если есть в списке установленных программ, то деинсталируйте. Если есть другие незнакомые программы, то также деинсталируйте.VOPackage
SmartWeb
mystartsearch uninstall
PhraseProfessor_1.10.0.22
WordSurfer_1.10.0.19
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
VOPackage в списке нет
Как удалить?
Видимо, надо, потому что окна всплывают
- - - - -Добавлено - - - - -
Повторная очистка
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Всплывают
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Удалить).
- Подтвердите удаление нажав кнопку: Да.
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txtКод:%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
В папке (со штрихом)
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Остало
- - - - -Добавлено - - - - -
Осталось при запуске firefox открывает istartsurf.com
Уважаемый(ая) pda, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.