Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

AVG связывает появление фалов в папках типа C:\Windows\TEMP\extns_104093 с процессом svchost (заявка № 201370)

  1. #1
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20

    AVG связывает появление фалов в папках типа C:\Windows\TEMP\extns_104093 с процессом svchost

    В папке C:\Windows\TEMP каждый раз после запуска компьютера появляются папки типа
    extns_104093
    extns_105859
    extns_108890
    в которых, якобы содержатся файлы расширений браузеров
    AVG удаляет оттуда dll-файлы с оповещением об угрозе Generic7.Amon и связывает с процессом C:\WINDOWS\SysWOW64\svchost.exe

    Система Windows XP x64
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) StanislavKR, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Здравствуйте !!!

    отключите антивирусную программу

    Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\program files (x86)\uncheckit\uncheckitsvc.exe');
      TerminateProcessByName('c:\program files (x86)\uncheckit\uncheckitbsn.exe');
      TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc2.exe');
      TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc.exe');
      TerminateProcessByName('c:\program files (x86)\uncheckit\cktsvc.exe');
      TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
      TerminateProcessByName('c:\program files (x86)\tdata\tdata.exe');
      TerminateProcessByName('c:\programdata\guntony\protect\protect.exe');
      SetServiceStart('iSafeKrnlR3', 4);
      SetServiceStart('iSafeKrnlMon', 4);
      SetServiceStart('iSafeKrnlKit', 4);
      SetServiceStart('iSafeKrnl', 4);
      StopService('iSafeKrnlR3');
      StopService('iSafeKrnlMon');
      StopService('iSafeKrnlKit');
      StopService('iSafeKrnl');
      StopService('UncheckitSvc');
      StopService('TDataSvr');
      StopService('Guntony_protect');
      StopService('cktSvc');
      QuarantineFile('C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe','');
      QuarantineFile('C:\Program Files (x86)\Guntony\Guntony\chrome.exe','');
      QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\plugins\FileSmash\QMSoftExt.dll','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMContextScan.dll','');
      QuarantineFile('C:\WINDOWS\system32\drivers\tsskx64.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys','');
      QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','');
      QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','');
      QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','');
      QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
      QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','');
      QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
      QuarantineFile('C:\Program Files (x86)\qksee\qkseeSvc.exe','');
      QuarantineFile('C:\Program Files (x86)\Mputyqasied\MputyqasiedHostservice.exe','');
      QuarantineFile('C:\Program Files (x86)\Guntony\Guntony\bin\Guntony_server.exe','');
      QuarantineFile('C:\Documents and Settings\All Users\Application Data\ANDREA VACONDIO\PDFsam Manager\PDFsam Enhanced\PDFsam Manager.exe','');
      QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~WY7A.tmp','');
      QuarantineFile('c:\program files (x86)\uncheckit\uncheckitsvc.exe','');
      QuarantineFile('c:\program files (x86)\uncheckit\uncheckitbsn.exe','');
      QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','');
      QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','');
      QuarantineFile('c:\program files (x86)\uncheckit\cktsvc.exe','');
      QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
      QuarantineFile('c:\program files (x86)\tdata\tdata.exe','');
      QuarantineFile('c:\programdata\guntony\protect\protect.exe','');
      DeleteFile('C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk');
      DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
      DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','32');
      DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','32');
      DeleteFile('c:\program files (x86)\uncheckit\uncheckitbsn.exe','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\curlpp.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iCommon.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iCommu.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\ipcproxy.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeAdless.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeBase.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeDisp.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlCall.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMonCall.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\isafemc.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\isafepxy.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\isafeupbiz.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\isaferpt.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSvc.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSvc2.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPAutoClean.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPDesk.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPNodisturb.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPMsgCenter.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPPush.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPProtect.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iTPVirus.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\libcurl.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\LIBEAY32.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\ouilibx.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\libpng.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\sqlite3.dll','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\SSLEAY32.dll','32');
      DeleteFile('C:\Program Files (x86)\Uncheckit\cktSvc.exe','32');
      DeleteFile('C:\ProgramData\Guntony\protect\protect.exe','32');
      DeleteFile('C:\Program Files (x86)\TData\TData.exe','32');
      DeleteFile('C:\Program Files (x86)\Uncheckit\UncheckitSvc.exe','32');
      DeleteFile('C:\Program Files (x86)\Guntony\Guntony\bin\Guntony_server.exe','32');
      DeleteFile('C:\Program Files (x86)\Mputyqasied\MputyqasiedHostservice.exe','32');
      DeleteFile('C:\Program Files (x86)\qksee\qkseeSvc.exe','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
      DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32');
      DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator.sys','32');
      DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys','32');
      DeleteFile('C:\WINDOWS\system32\drivers\tsskx64.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMContextScan.dll','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\plugins\FileSmash\QMSoftExt.dll','32');
      DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
      DeleteFile('C:\Program Files (x86)\Guntony\Guntony\chrome.exe','32');
      DeleteFile('C:\WINDOWS\Tasks\GuntonyBrowserUpdateCore.job','32');
      DeleteFile('C:\WINDOWS\Tasks\GuntonyBrowserUpdateUA.job','32');
      DeleteFile('C:\WINDOWS\Tasks\GuntonyCheckTask.job','32');
      DeleteFile('C:\WINDOWS\Tasks\UncheckitTaskMN.job','32');
      DeleteFile('C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe','32');
      DeleteFile('C:\WINDOWS\Tasks\UncheckitUpdateTaskC.job','32');
      DeleteFile('C:\WINDOWS\Tasks\UncheckitUpdateTaskDB.job','32');
      DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
      DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon','command');
      DeleteService('TSSKX64');
      DeleteService('TSDefenseBt');
      DeleteService('TS888x64');
      DeleteService('TFsFlt');
      DeleteService('TAOAccelerator');
      DeleteService('softaal');
      DeleteService('QQSysMonX64');
      DeleteService('QMUdisk');
      DeleteService('iSafeKrnlR3');
      DeleteService('iSafeKrnlMon');
      DeleteService('iSafeKrnlKit');
      DeleteService('iSafeKrnl');
      DeleteService('QQPCRTP');
      DeleteService('qkseeService');
      DeleteService('MputyqasiedHostservice');
      DeleteService('Guntony_update');
      DeleteService('UncheckitSvc');
      DeleteService('TDataSvr');
      DeleteService('Guntony_protect');
      DeleteService('cktSvc');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  5. #4
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    Всё равно появилась папка C:\WINDOWS\Temp\extns_100218\ с файлами npsafe_surfing.dll
    Вложения Вложения

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32');
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  7. #6
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    после скрипта AVZ: файл iSafeNetFilter.sys исчез
    Винда выдала ошибку spooler
    После перезагрузки снова объявились npsafe_surfing.dll

    Лог adwcleaner во вложении
    Вложения Вложения

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  9. #8
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    1. Запустил удаление. Удаление прошло, но при этом выдало сообщение о недостаче msimg32.dll Перегрузился
    2. Запустил сканирование и удаление ещё раз. Три элемента. Но снова отсутствие msimg32.dll
    3. Сканирую ещё раз, осталось всё равно 2 ключа реестра. AdwCleaner[S4].txt
    Вложения Вложения

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Хорошо.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  11. #10
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    Просканировал
    Вложения Вложения
    • Тип файла: zip FRST.zip (28.6 Кб, 6 просмотров)

  12. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKLM-x32\...\Winlogon: [Userinit] userinit [X]
      HKLM\...\Command Processor:  <======= ATTENTION
      HKLM-x32\...\Command Processor:  <======= ATTENTION
      HKU\S-1-5-21-1889942147-2969309655-2030085868-500\...\Policies\Explorer: [] 
      HKU\S-1-5-21-1889942147-2969309655-2030085868-500\...\MountPoints2: G - G:\Setup.exe
      HKU\S-1-5-21-1889942147-2969309655-2030085868-500\...\MountPoints2: {725919ce-127e-11e6-bea1-a0f3c10d82cb} - F:\Lenovo_Suite.exe
      HKU\S-1-5-21-1889942147-2969309655-2030085868-500\...\MountPoints2: {f313df4c-db84-11e5-9e0c-a0f3c10d82cb} - H:\Lenovo_Suite.exe
      GroupPolicyScripts: Restriction <======= ATTENTION
      FF NewTab: hxxp://www.nicesearches.com?type=hp&ts=1463484374&from=87640516&uid=st3500413as_6vmt5ejcxxxx6vmt5ejc&z=4c8b2161bdc22b044908b9cg4z7qfc3z0b1zacfm0m
      CHR StartupUrls: ChromeDefaultData -> "hxxp://www.hohosearch.com/?mode=loadm&ptid=qca&uid=42BE64E542215FA02B9FFAFFDF9AC63B&v=20160506&ts=AHEqAXIlC3YtBU.."
      CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1463484374&from=87640516&uid=st3500413as_6vmt5ejcxxxx6vmt5ejc&z=4c8b2161bdc22b044908b9cg4z7qfc3z0b1zacfm0m&q={searchTerms}
      CHR DefaultSearchKeyword: ChromeDefaultData -> nice
      CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-05-06]
      2016-05-17 14:21 - 2016-05-17 14:21 - 00000000 ____D C:\Documents and Settings\Default User\Application Data\Elex-tech
      2016-05-13 13:07 - 2016-05-13 13:07 - 00000000 ____D C:\Documents and Settings\Administrator\Application Data\Elex-tech
      2016-05-13 13:06 - 2016-05-13 13:06 - 00000000 ____D C:\Documents and Settings\Default User\Application Data\Uncheckit
      2016-05-13 13:06 - 2016-05-13 13:06 - 00000000 ____D C:\Documents and Settings\Administrator\Application Data\Uncheckit
      2016-05-13 13:05 - 2016-05-13 13:06 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\uckt
      2016-05-06 10:25 - 2016-05-06 10:24 - 00126008 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
      2016-05-06 10:24 - 2016-05-06 10:24 - 00099480 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys
      2016-05-06 10:24 - 2016-05-06 10:24 - 00097400 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
      2016-05-06 10:24 - 2016-05-06 10:24 - 00000000 _____ C:\Documents and Settings\Administrator\Desktop\$电脑管家-清理垃圾$.qmgc
      2016-05-06 10:24 - 2016-03-16 13:57 - 00054904 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TSSKX64.sys
      2016-05-06 10:23 - 2016-05-26 14:49 - 00000000 ____D C:\Documents and Settings\Administrator\Application Data\Tencent
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:58D8F144 [123]
      EmptyTemp:
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  13. #12
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    Не помогло.

    Единственное, что уточню - файл ""C:\Documents and Settings\Administrator\Desktop\$????-????$.qmgc" => not found." удалил вручную.
    Вложения Вложения

  14. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Цитата Сообщение от StanislavKR Посмотреть сообщение
    Не помогло.
    Подробности проблемы опишите. Если про
    Запустил сканирование и удаление ещё раз. Три элемента. Но снова отсутствие msimg32.dll
    , то его необходимо восстанавливать из дистрибутива, скриптами лечения этот файл мы не затрагивали.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  15. #14
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    1. При запуске компьютера что-то создаёт папку C:\Windows\TEMP\extns_* (вместо * - разные цифры, например, сегодня 105140)
    AVG моментально реагирует на это предупреждая о наличии в папке файлов npsafe_surfing.dll, содержащих рекламное ПО Generic7.Amon
    C:\WINDOWS\Temp\extns_105140\extensions\opera\plug in\npsafe_surfing.dll
    C:\WINDOWS\Temp\extns_105140\extensions\firefox\{3 B4DE07A-DE43-4DBC-873F-05835FF67DCE}\plugins\npsafe_surfing.dll
    C:\WINDOWS\Temp\extns_105140\extensions\chrome_npa pi\14.18_0\npapi\npsafe_surfing.dll
    AVG в подробном отчёте связывает появление этих файлов с процессом C:\WINDOWS\SysWOW64\svchost

    2. AdwCleaner каждый раз при сканировании находит только два ключа реестра
    Key Found : [x64] HKLM\SOFTWARE\{A16B1AF7-982D-40C3-B5C1-633E1A6A6678}
    Key Found : [x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\ApnTBMon
    После удаления и перезагрузки эти ключи они снова на месте.
    Для их удаления AdwCleaner уже не требует msimg32.dll
    Поэтому тут, я так понимаю, проблема не в msimg32.dll, а в этих двух ключах

  16. #15
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Сделайте лог полного сканирования MBAM
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  17. #16
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    3. Запустите полное сканирование = отметьте ВСЕ подключённые к ПК жесткие диски и флешки. По вышеуказанной причине - ничего не удаляйте, не посоветовавшись с хелперами.
    Отметить в MBAM диски возможно только когда выбираешь "выборочную" проверку, а не "полную".
    Во вложении - лог Полной проверки.
    Вложения Вложения
    Последний раз редактировалось StanislavKR; 16.06.2016 в 13:06.

  18. #17
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Прикрепите в текстовом виде, лог. Что то пошло не так с Вашей архивацией, не распаковывается.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  19. #18
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Прикрепите в текстовом виде, лог. Что то пошло не так с Вашей архивацией, не распаковывается.
    В текстовом больше 700Кб, Форум отказывается принимать.
    Прикрепил в ZIP-архиве
    Вложения Вложения

  20. #19
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Удалите всё найденное в MBAM. Отпишитесь после "чистки", что с проблемой ...
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  21. #20
    Junior Member Репутация
    Регистрация
    24.09.2012
    Сообщений
    18
    Вес репутации
    20
    Запустил "чистку".
    После перезапуска снова выскочили файлы в "C:\Windows\TEMP\extns_*", т.е. изначальная проблема осталась.
    На всякий случай запустил MBAM - показал 0 угроз.

    П.С. В AdwCleaner, кстати, из двух ключей реестра остался один
    Key Found : [x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\ApnTBMon

  • Уважаемый(ая) StanislavKR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 16.01.2012, 17:33
    2. Ответов: 3
      Последнее сообщение: 24.08.2011, 11:00
    3. Ответов: 4
      Последнее сообщение: 14.03.2010, 09:22
    4. Ответов: 2
      Последнее сообщение: 07.07.2009, 13:14
    5. Ответов: 2
      Последнее сообщение: 28.10.2008, 17:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00785 seconds with 17 queries