Здравствуйте!
Недавно начали сами по себе устанавливаться вредоносные программы - AnyProtect, Crossbrowse и другие.
Пробовал удалять через различные антивирусы - не помогло.
Нужна ваша помощь.
Здравствуйте!
Недавно начали сами по себе устанавливаться вредоносные программы - AnyProtect, Crossbrowse и другие.
Пробовал удалять через различные антивирусы - не помогло.
Нужна ваша помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Inesta, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Почему то при сканировании AB3 на ~50 процентах программа выключается и написано "Завершение программы AВЗ, программа не отвечает"
Здравствуйте !!!
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1429806286&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" O4 - HKLM\..\Run: [gmsd_ru_005010102] "C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe" O4 - HKLM\..\RunOnce: [upgmsd_ru_005010102.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe -runonce O4 - Startup: SmartWeb.lnk = ? O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe',''); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL',''); QuarantineFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe'); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL'); DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010102\upgmsd_ru_005010102.exe'); DeleteFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe'); DelCLSID('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}'); DeleteFileMask('C:\Program Files (x86)\Zaxar','*',true); DeleteDirectory('C:\Program Files (x86)\Zaxar'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs'); TerminateProcessByName('c:\programdata\uwdsmanprou\wdsmanpro.exe'); StopService('WdsManPro'); QuarantineFile('C:\Users\Алексей\AppData\Roaming\luckysearches\UninstallManager.exe',''); QuarantineFile('C:\Users\Алексей\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Users\???????\AppData\Roaming\qLTzf6QrBClYnKCB8BXy1kbvH.exe ',''); QuarantineFile('C:\Users\???????\AppData\Roaming\olMxp1YqeKYFghwJ0DhEsS0y.exe',''); QuarantineFile('C:\Users\???????\AppData\Roaming\NdrXwccGPdEAB1rw.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-10.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.exe',''); QuarantineFile('C:\Users\???????\AppData\Roaming\Er0mtrrgH5nRxe.exe',''); QuarantineFile('C:\ProgramData\DNSErrorHelper\bho.dll',''); QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk',''); QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk',''); QuarantineFile('C:\ProgramData\Browsers\browser6.bat',''); QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk',''); QuarantineFile('C:\ProgramData\Browsers\browser0.bat',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); QuarantineFile('C:\Windows\system32\EasyAntiCheat.exe',''); QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe',''); QuarantineFile('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs',''); QuarantineFile('c:\programdata\uwdsmanprou\wdsmanpro.exe',''); DeleteFile('C:\Users\???????\AppData\Roaming\qLTzf6QrBClYnKCB8BXy1kbvH.exe '); DeleteFile('C:\Users\???????\AppData\Roaming\olMxp1YqeKYFghwJ0DhEsS0y.exe'); DeleteFile('C:\Users\???????\AppData\Roaming\NdrXwccGPdEAB1rw.exe'); DeleteFile('C:\Users\???????\AppData\Roaming\Er0mtrrgH5nRxe.exe'); DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk'); DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk'); DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk'); DeleteFile('c:\program files (x86)\46364331-1443286974-3335-4238-3944ffffffff\knsc97ed.tmpfs','32'); DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe','32'); DeleteFile('C:\ProgramData\UWdsManProU\WdsManPro.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\ProgramData\Browsers\browser0.bat','32'); DeleteFile('C:\ProgramData\Browsers\browser6.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\2999d012-7131-417e-a6d6-1a4985734ab1.exe','32'); DeleteFile('C:\Windows\Tasks\2999d012-7131-417e-a6d6-1a4985734ab1.job','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\Windows\Tasks\Er0mtrrgH5nRxe.job','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6.job','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-10.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.exe','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-11.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-10_user.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7.job','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.exe','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5_user.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-4.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-3.job','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.exe','32'); DeleteFile('C:\Program Files (x86)\MyBrowser 1.0.2V29.09\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-1-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-10.exe','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-10_user.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-1-7.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-1-6.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-7.job','32'); DeleteFile('C:\Windows\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-6.job','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-11.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-3.exe','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-3.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-11.job','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-4.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-5.exe','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5_user.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-4.job','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV23.04\fece411e-f7b1-4308-85ac-10b9701ac96f-7.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-7.job','32'); DeleteFile('C:\Windows\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-6.job','32'); DeleteFile('C:\Windows\Tasks\NdrXwccGPdEAB1rw.job','32'); DeleteFile('C:\Windows\Tasks\olMxp1YqeKYFghwJ0DhEsS0y.job','32'); DeleteFile('C:\Windows\Tasks\qLTzf6QrBClYnKCB8BXy1kbvH.job','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\At1','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-6','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-5','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-4','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-3','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-11','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-7','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-6','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-5','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-4','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-3','64'); DeleteFile('C:\Windows\system32\Tasks\fece411e-f7b1-4308-85ac-10b9701ac96f-11','64'); DeleteFile('C:\Windows\system32\Tasks\f1eb412d-1e91-4260-b8f8-254d65b9085f-7','64'); DeleteFile('C:\Users\Алексей\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Алексей\AppData\Roaming\luckysearches\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{058428B0-AF9C-4943-819F-9C64D5E241FB}','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteService('innfd_1_10_0_14'); DeleteService('WdsManPro'); DeleteService('SSFK'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выслал
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [gmsd_ru_005010105] "C:\Program Files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe" O4 - HKLM\..\RunOnce: [upgmsd_ru_005010105.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe -runonce
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe'); TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe'); QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe',''); QuarantineFile('c:\program files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe',''); DeleteFile('C:\Program Files (x86)\gmsd_ru_005010105\gmsd_ru_005010105.exe','32'); DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','32'); DeleteFile('C:\ProgramData\DNSErrorHelper\bho.dll','32'); DelBHO('{9B6B03F1-16CF-4491-BBBB-E872802DD717}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010105'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010105.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Выполните скрипт в AVZ:Код:O4 - HKLM\..\RunOnce: [upgmsd_ru_005010105.exe] C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe -runonce
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe'); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL',''); QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_005010105\upgmsd_ru_005010105.exe',''); DeleteFile('C:\Users\Алексей\AppData\Local\gmsd_ru_005010105\upgmsd_ru_005010105.exe','32'); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010105.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Не могу вложить, так как не хватает свободного места. Что делать?
Выложите на файлообменник http://rghost.ru/, ссылку с результатом загрузки опубликуйте в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выполните скрипт в uVS Как выполнить скрипт в uVS
Код:;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE delref D:\WOT\GAME_MANUAL.URL delref %SystemDrive%\USERS\ПАПА МОЖЕТ\APPDATA\LOCAL\MAILRU\MAILRUUPDATER.EXE delref D:\WOT\README.URL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE delref D:\WOT\WEBSITE.URL delref D:\WOT\WIKI.URL delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1429806286&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8 delref HTTP=127.0.0.1:9881 delref %SystemDrive%\PROGRAM FILES (X86)\ADGUARD\ADGUARD.EXE delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\NPUPLAYPC.DLL delref %SystemDrive%\PROGRAMDATA\DNSERRORHELPER\BHO.DLL delref {00000000-0000-0000-0000-000000000000}\[CLSID] delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1443800082&Z=185420E243429D21A518D2DGCZ1ZBC4M0T1T2TCZBM&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8 delref HTTP://WWW.ISTARTSURF.COM/NEWTAB/?TYPE=NT&TS=1443800082&Z=185420E243429D21A518D2DGCZ1ZBC4M0T1T2TCZBM&FROM=FACE&UID=ST3500418AS_9VMSEML8XXXX9VMSEML8 delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAPBDBDOMJKKJKAONFHKKIKFGJLLCLEB\1.0.3\NETSECURITY delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\1.3_0\СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ (VK.COM) delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.9.3_0\ADBLOCK PLUS delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEGDFEIAHLFOLHCFIOIPJLKOMBMGBAKH\1.26.94_0\MYBROWSER 1.0.2V29.09 deltmp delnfr restart
+
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: GroupPolicy-x32: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://www.firetab.org/?type=ds3se&p={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> 4FA9A8C3CEE9D3FA3888BC5A9F4AE0AF URL = hxxp://1stserp.com/search.php?us=searcher&pcid=37376C8E-4C42-4407-A909-4F728B8FE76E&pid=80&query={searchTerms}&sc=ie SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> 8A26A3394F37BD8D646747A4BA095224 URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&ts=1429806644&type=default&q={searchTerms} Toolbar: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4072466711-1085973631-2709582696-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 FF DefaultSearchEngine: istartsurf FF SelectedSearchEngine: istartsurf FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-10-02] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\luckysearches.xml [2015-04-23] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystartsearch.xml [2015-10-02] FF Extension: MyBrowser 1.0.2V29.09 - C:\Users\Алексей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-09-29] [not signed] StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8" CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8&q={searchTerms} CHR DefaultSearchKeyword: Default -> istartsurf CHR Extension: (Видеогет) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\mffaiffbfnpaalibenmemffgmppndafp [2014-09-19] StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1443800082&z=185420e243429d21a518d2dgcz1zbc4m0t1t2tczbm&from=face&uid=ST3500418AS_9VMSEML8XXXX9VMSEML8 Task: {3F02473C-D610-4D03-B189-5683B9EB4B41} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Task: {784FBA91-E9F7-4475-B5CB-27FB85B3CBC1} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {7B19B622-A994-4EA3-9BD2-F0AEBD522AF9} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION Task: {A261B443-2B96-440A-9792-F7ABC34D66DE} - \{907F6B81-8B3D-4746-8580-00806C98F58F} -> No File <==== ATTENTION Task: {BBF92FEA-A4A7-4E09-8EA5-262F3C15EE0A} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {DEC7C542-8CFB-4A50-B771-F4B8FEB9B41B} - \{058428B0-AF9C-4943-819F-9C64D5E241FB} -> No File <==== ATTENTION Task: {F7933E81-2665-45EB-AB8A-DD7613873CFB} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
вот
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Уважаемый(ая) Inesta, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
