Показано с 1 по 11 из 11.

Куча рекламы, посторонние процессы [Trojan-Downloader.MSIL.Crypted.ii, Trojan.Win32.Vilsel.codr ] (заявка № 193627)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2013
    Сообщений
    20
    Вес репутации
    16

    Куча рекламы, посторонние процессы [Trojan-Downloader.MSIL.Crypted.ii, Trojan.Win32.Vilsel.codr ]

    Реклама открывается на любом сайте на половину экрана, браузер сам открывает вкладки.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) zacenimoymir, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp');
     TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp');
     TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs');
     TerminateProcessByName('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe');
     TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe');
     TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe');
     TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe');
     SetServiceStart('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64', 4);
     SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64', 4);
     SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64', 4);
     SetServiceStart('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64', 4);
     SetServiceStart('timolugo', 4);
     SetServiceStart('bykesute', 4);
     StopService('kororebi');
     StopService('myfejozi');
     StopService('skinapp');
     StopService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
     StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
     StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
     StopService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
     StopService('webinstrNewH');
     StopService('nethfdrv');
     StopService('ccnfd_1_10_0_2');
     StopService('timolugo');
     StopService('bykesute');
     QuarantineFileF('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true, '', 0 , 0);
     QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '');
     QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '');
     QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '');
     QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '');
     QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '');
     QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '');
     QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '');
     QuarantineFile('c:\task.vbs', '');
     QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
     QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '');
     QuarantineFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '');
     QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll', '');
     QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '');
     QuarantineFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '');
     QuarantineFile('C:\Windows\skinapp.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\webinstrNewH.sys', '');
     QuarantineFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys', '');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '');
     QuarantineFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '');
     QuarantineFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '');
     QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '');
     QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '');
     DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '32');
     DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '32');
     DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '32');
     DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '32');
     DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '32');
     DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '32');
     DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '32');
     DeleteFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '32');
     DeleteFile('c:\task.vbs', '32');
     DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '32');
     DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '32');
     DeleteFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '32');
     DeleteFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '32');
     DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '32');
     DeleteFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '32');
     DeleteFile('C:\Windows\skinapp.sys', '32');
     DeleteFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '32');
     DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '32');
     DeleteFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '32');
     DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '32');
     DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25.job" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001.job" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
     DeleteService('kororebi');
     DeleteService('myfejozi');
     DeleteService('cidocuvy');
     DeleteService('comyninu');
     DeleteService('hyverumu');
     DeleteService('skinapp');
     DeleteService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
     DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
     DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
     DeleteService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
     DeleteService('nethfdrv');
     DeleteService('timolugo');
     DeleteService('bykesute');
     DeleteFileMask('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true);
     DeleteFileMask('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true);
     DeleteDirectory('C:\Users\Alexandr\AppData\Roaming\newSI_1001\');
     DeleteDirectory('C:\Users\Alexandr\AppData\Local\SystemDir');
     DelBHO('{11111111-1111-1111-1111-110611191111}');
     DelBHO('{11111111-1111-1111-1111-110611341129}');
     DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');
     DelBHO('{ECFE940D-D51F-7BC6-C852-EA86E896B721}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010068', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010055', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010054', 'command');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    19.10.2013
    Сообщений
    20
    Вес репутации
    16
    Не мог попасть к компьютеру, выполнил и прислал вроде бы все, что Вы просили, проблема не после выполнения скрипта не исчезла, при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от zacenimoymir Посмотреть сообщение
    при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.
    ещё бы, такой зоопарк разнообразной адвари установлен.

    Цитата Сообщение от regist Посмотреть сообщение
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    Где ссылка на отчёт? Жду.

    Потом

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2013
    Сообщений
    20
    Вес репутации
    16
    Вот ссылка: http://virusinfo.info/virusdetector/...CAEE3F59398158
    Дальнейшие указания проведу завтра! Компьютер родителей, к сожалению ежедневного доступа не имею к нему, а помочь нужно! Спасибо за понимание.

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2013
    Сообщений
    20
    Вес репутации
    16
    Реклама в браузере исчезла поле выполнения вашей инструкции, самопроизвольный запуск Opera, который происходил через определенный момент времени также исчез, огромное спасибо, логи прикрепил, жду дальнейших указаний.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     SetServiceStart('{809da842-a636-4d48-aeda-93730ef23d66}Gw64', 4);
     SetServiceStart('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64', 4);
     SetServiceStart('prfoucrdow', 4);
     StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
     StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
     StopService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
     StopService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
     StopService('prfoucrdow');
     QuarantineFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '');
     QuarantineFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '');
     QuarantineFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
     QuarantineFile('C:\Program Files (x86)\baidu\pps.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '');
     QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
     DeleteFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '32');
     DeleteFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '32');
     DeleteFile('C:\Program Files (x86)\baidu\pps.exe', '32');
     DeleteFile('C:\Windows\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0.job', '32');
     DeleteFile('C:\Windows\Tasks\RMSchedule.job', '32');
     DeleteFile('C:\Windows\system32\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0', '64');
     DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Alexandr', '64');
     DeleteFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
     DeleteFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '32');
     DeleteFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '32');
     DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
     DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
     DeleteService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
     DeleteService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
     DeleteService('prfoucrdow');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\allskidkimos', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\moreskidki', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_101', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader', 'command');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2013
    Сообщений
    20
    Вес репутации
    16
    Все выполнил по Вашей инструкции.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    сделайте лог HiJackThis 2.0.6 Alfa 1.4

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\baidu\pps.exe - Trojan.Win32.Vilsel.codr ( DrWEB: Trojan.Siggen6.42230, AVAST4: Win32:Malware-gen )
      2. c:\program files (x86)\vk downloader\toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn ( DrWEB: Adware.Downware.10995 )
      3. c:\users\alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )
      4. c:\users\alexandr\appdata\local\retechno.exe - Trojan-Downloader.MSIL.Crypted.ii ( DrWEB: Trojan.DownLoader17.28781, AVAST4: Win32:Malware-gen )
      5. c:\users\alexandr\appdata\roaming\gemware\deletewe bkitcookie.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.InstallCube.400, AVAST4: Win32:Malware-gen )
      6. c:\users\alexandr\appdata\roaming\microsoft update\unload.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader12.23010, AVAST4: Win32:Malware-gen )
      7. c:\windows\system32\drivers\ccnfd_1_10_0_2.sys - not-a-virus:AdWare.Win32.Vitruvian.c ( DrWEB: Adware.Plugin.274 )
      8. c:\windows\system32\drivers\webinstrnewh.sys - not-a-virus:AdWare.Win64.AddLyrics.de ( DrWEB: Trojan.Lyrics.299 )
      9. c:\windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.SwiftBrowse.CH )
      10. c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
      11. c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
      12. c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}gw64.sys - not-a-virus:AdWare.Win32.Yotoon.szx ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
      13. c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys - not-a-virus:AdWare.Win32.Yotoon.szx ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )


  • Уважаемый(ая) zacenimoymir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Посторонние процессы
      От Александр Шихман в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.04.2012, 01:43
    2. Посторонние процессы в памяти iexplore.exe
      От Vladimir91 в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 06.01.2012, 08:10
    3. Ответов: 8
      Последнее сообщение: 28.11.2010, 02:47
    4. Посторонние процессы и службы
      От Gamil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.08.2009, 15:12
    5. Помогите... посторонние процессы
      От andreich-1 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 23.05.2009, 14:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01517 seconds with 16 queries