Периодически запускается неведомый инсталятор [not-a-virus:Downloader.Win32.InstallMonster.fpfh, not-a-virus:AdWare.Win32.Vopak.bznw
]
OS - Windows 7; Service Pack 1; 64-разрядная
1. Регулярно автоматически запускается неведомый типа инсталятор. В заголовке 'Last Version for MS Security Client User Interface users' или '... for Google Chrome users'. Предлагает нажать кнопку 'Next'. Кнопку не нажимал, закрывал окно крестом.
2. В браузере (Google Chrome) периодически открываются рекламные страницы.
3. Антивирус MS Security Essentials периодически сообщает, что прибил очередной thread
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) TirasVM, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\5a70.tmp'); TerminateProcessByName('C:\Program Files\SpaceSoundPro\i_network.exe'); TerminateProcessByName('C:\Program Files (x86)\E8713860-1476549521-11E1-9BF7-C86000E0284D\knsEA83.tmp'); QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\E8713860-1476549521-11E1-9BF7-C86000E0284D\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\windows\temp\5a70.tmp', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\i_network.exe', ''); QuarantineFile('C:\Program Files (x86)\E8713860-1476549521-11E1-9BF7-C86000E0284D\knsEA83.tmp', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); QuarantineFileF('c:\program files (x86)\ghuwule\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('d:\users\Владимир\appdata\roaming\hpsewil\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe', ''); QuarantineFileF('D:\Users\Владимир\appdata\roaming\mydesktop', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\programdata\logic handler\set.exe', ''); QuarantineFileF('c:\programdata\networkpacketmanitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\program files (x86)\weatherchickn\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\program files (x86)\acronis\acronisintel.exe', ''); QuarantineFileF('c:\program files (x86)\kuaizip\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\windows\temp\5a70.tmp', '32'); DeleteFile('c:\programdata\logic handler\set.exe'); DeleteFile('C:\Program Files\SpaceSoundPro\i_network.exe', '32'); DeleteFile('C:\Program Files (x86)\E8713860-1476549521-11E1-9BF7-C86000E0284D\knsEA83.tmp', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true); DeleteFileMask('D:\Users\Владимир\appdata\roaming\mydesktop', '*', true); DeleteFileMask('c:\program files\spacesoundpro', '*', true); DeleteFileMask('c:\program files (x86)\kuaizip\', '*', true); DeleteDirectory('D:\Users\Владимир\appdata\roaming\mydesktop'); DeleteDirectory('c:\program files\spacesoundpro'); DeleteDirectory('c:\program files (x86)\kuaizip\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'IDSCPRODUCT'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Программы/расширения от Mail.ru используете?
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению.
1. Процедуру выполнил. MD5 карантина: 8AAA8F95C0CB7735F90936EA3F5E37D4
2. Скрипт выполнил. quarantine.zip загрузил.
3. Повторные логи по правилам п.2,3 и AdwCleaner[S0].txt прилагаю
Программы/расширения от Mail.ru не использую.
Кроме того, обнаружил:
1. Панель управления -> Защитник Windows - "Эта программа отключена". Включить не удалось
2. В Chrome установлены расширения 'PageLiner 1.2.2' и 'Zen 1.0.6'. Удалить не удается. Пишет "Установлено в соответствии с корпоративным правилом."
Содержимое папок
Вам знакомо? В частностиКод:d:\bmp\ d:\distr1\ d:\uole13381f++ d:\Пароли
Код:d:\bmp\bmppaltvr.exe d:\distr1\distrПочта.exe d:\uole13381f++\Петроэлектросбытьuolef.exe d:\Пароли\ПаролиИгры.exe
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\e8713860-1476549521-11e1-9bf7-c86000e0284d\knse79b.tmp'); TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe'); StopService('xecudoty'); QuarantineFileF('D:\Users\Владимир\appdata\local\apps\2.0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFile('c:\program files (x86)\e8713860-1476549521-11e1-9bf7-c86000e0284d\knse79b.tmp', ''); QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe', ''); QuarantineFile('d:\bmp\bmppaltvr.exe', ''); QuarantineFile('d:\distr1\distrПочта.exe', ''); QuarantineFile('d:\uole13381f++\Петроэлектросбытьuolef.exe', ''); QuarantineFile('d:\Пароли\ПаролиИгры.exe', ''); QuarantineFile('D:\Users\Владимир\appdata\roaming\adobe\manager.exe', ''); QuarantineFileF('D:\Users\Владимир\appdata\roaming\mydesktop\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\program files (x86)\acronis\acronisintel.exe', ''); QuarantineFileF('C:\Program Files (x86)\IconRunner\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Program Files\spacesoundpro\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\program files (x86)\traystatus\traystatusutorrent.exe', ''); QuarantineFileF('C:\Program Files\3494b33ceb010c647fc889a04a1a8b72\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Program Files\3494b33ceb010c647fc889a04a1a8b72\ca9c1a05406ef7ea5fef1481b52cfffc.exe', ''); QuarantineFileF('c:\program files (x86)\traystatus\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\program files (x86)\adobe\inteladobe.exe', ''); QuarantineFile('c:\program files (x86)\google\googlemicrosoftvisualstudio.exe', ''); QuarantineFileF('D:\Users\Владимир\AppData\Roaming\Adobe\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Windows\system32\drivers\03aa87b55e8981c7f0809bf360ba74f9.sys', ''); QuarantineFileF('c:\program files (x86)\sunshine\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\program files (x86)\ghuwule\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\programdata\networkpacketmanitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('d:\users\Владимир\appdata\roaming\hpsewil', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\program files (x86)\e8713860-1476549521-11e1-9bf7-c86000e0284d\knse79b.tmp', '32'); DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe', '32'); DeleteFile('D:\Users\Владимир\appdata\roaming\adobe\manager.exe'); DeleteFile('c:\program files (x86)\traystatus\traystatusutorrent.exe'); DeleteFile('c:\program files (x86)\acronis\acronisintel.exe'); DeleteFile('c:\program files (x86)\adobe\inteladobe.exe'); DeleteFile('c:\program files (x86)\google\googlemicrosoftvisualstudio.exe'); DeleteService('xecudoty'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('D:\Users\Владимир\appdata\roaming\mydesktop\', '*', true); DeleteFileMask('C:\Program Files (x86)\IconRunner\', '*', true); DeleteFileMask('C:\Program Files\spacesoundpro\', '*', true); DeleteFileMask('C:\Program Files\3494b33ceb010c647fc889a04a1a8b72\', '*', true); DeleteDirectory('D:\Users\Владимир\appdata\roaming\mydesktop\'); DeleteDirectory('C:\Program Files (x86)\IconRunner\'); DeleteDirectory('C:\Program Files\spacesoundpro\'); DeleteDirectory('C:\Program Files\3494b33ceb010c647fc889a04a1a8b72\'); DeleteDirectory('c:\program files (x86)\zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IconRunner'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Последний раз редактировалось regist; 18.10.2016 в 09:01.
1. Карантин загрузил
2. Логи по Правилам ... и AdwCleaner прилагаю
3. PC_2016-10-18_19-27-23.7z (622Kb) - Результат работы uVS загрузить не удалось. Сообщение при попытке прикрепить файл: PC_2016-10-18_19-27-23.7z 310.2 Кб превысил предел на форуме
4. Названные вами в предыдущем сообщении файлы мне не знакомы. Удалить не удается.
закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) и пришлите ссылку на скачиваниеСообщение от TirasVM
Не знакомы только файлы или папки целиком не знакомы?
1. Ссылка на zippyshare - http://www109.zippyshare.com/v/EEPGCzYK/file.html
2. Папки знакомы. Но могу подумать о их необходимости, если их наличие мешает лечению.
- - - - -Добавлено - - - - -
1. Типа исталятор (с которого началось мое обращение) стал вылезать чаще; закрывать его стало сожнее
2. Essentials обнаружил угрозу
но обезвредить не можетPotentially Unwanted Software
Items:
containerfile:d:\Users\Владимир\AppData\Local\Temp \setup_759.exe
file:d:\Users\Владимир\AppData\Local\Temp\setup_75 9.exe->(nsis-6-$(PLUGINSDIR)\GakmeVho.dll)
Последний раз редактировалось TirasVM; 19.10.2016 в 17:43. Причина: Лишние смйлики
1) Выполните скрипт в uVS и пришлите карантин
Код:;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG zoo D:\DISTR1\DISTRПОЧТА.EXE bl 9507F1F75DF7A7C72A6BA3FB70017A4B 228352 delall D:\DISTR1\DISTRПОЧТА.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\ACRONIS\ACRONISINTEL.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ACRONIS\ACRONISINTEL.EXE zoo D:\ПАРОЛИ\ПАРОЛИИГРЫ.EXE delall D:\ПАРОЛИ\ПАРОЛИИГРЫ.EXE zoo D:\UOLE13381F++\ПЕТРОЭЛЕКТРОСБЫТЬUOLEF.EXE delall D:\UOLE13381F++\ПЕТРОЭЛЕКТРОСБЫТЬUOLEF.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\TRAYSTATUS\TRAYSTATUSUTORRENT.EXE delall %SystemDrive%\PROGRAM FILES (X86)\TRAYSTATUS\TRAYSTATUSUTORRENT.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\GHUWULE zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE\INTELADOBE.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE\INTELADOBE.EXE dirzooex D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\ADOBE zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\ADOBE\MANAGER.EXE bl FADE2E115C7407EAF2C28653A89A3530 72192 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\ADOBE\MANAGER.EXE dirzooex %SystemDrive%\PROGRAM FILES (X86)\ICONRUNNER deldir %SystemDrive%\PROGRAM FILES (X86)\ICONRUNNER zoo D:\USERS\ВЛАДИМИР\APPDATA\LOCAL\MAILRUSETUP\MAILRUSETUP.EXE bl A26D466C73C790C00B7A50222D6B8F1F 90112 delall D:\USERS\ВЛАДИМИР\APPDATA\LOCAL\MAILRUSETUP\MAILRUSETUP.EXE delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\HPSEWIL\SEWILSTARTER2.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\ACRONIS\TRUEIMAGEHOME\TRUEIMAGELAUNCHER.BAT delall HTTP://54.148.148.252/ICON/TDS.PHP zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT bl 2BEBC2145A45DBFABD3A37A1A6C4A199 104 delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT zoo %SystemDrive%\XPACK1014_RU.1476456862.EXE bl 541F3183A6E5CDB4EBE7B0707C47D9E7 162015 delall %SystemDrive%\XPACK1014_RU.1476456862.EXE zoo %SystemDrive%\PROGRAM FILES\3494B33CEB010C647FC889A04A1A8B72\2CEF2056C5411CF127EA3D35924191BA.EXE bl EC28C4D1D720343B1A32923DE5D2FD3A 1830251 delall %SystemDrive%\PROGRAM FILES\3494B33CEB010C647FC889A04A1A8B72\2CEF2056C5411CF127EA3D35924191BA.EXE zoo D:\BMP\BMPPALTVR.EXE delall D:\BMP\BMPPALTVR.EXE zoo %SystemDrive%\PROGRAM FILES\3494B33CEB010C647FC889A04A1A8B72\CA9C1A05406EF7EA5FEF1481B52CFFFC.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLEMICROSOFTVISUALSTUDIO.EXE delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLEMICROSOFTVISUALSTUDIO.EXE dirzooex %SystemDrive%\PROGRAMDATA\HDTASK zoo %SystemDrive%\PROGRAMDATA\HDTASK\HDTASK.EXE bl EDC7EB442A17FAEB8BC02A7C16551BF1 180224 delall %SystemDrive%\PROGRAMDATA\HDTASK\HDTASK.EXE zoo D:\T32SF\BIN\FF32.BAT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KUAIZIP\X64\KZIPSHELL.DLL delall %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.DLL delall KUAIZIP SHELL EXTENSION\[CLSID] ; Zaxar Games Browser 4 exec C:\Program Files (x86)\Zaxar\unins000.exe ; Java(TM) 6 Update 25 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet czoo restart
2) Zaxar Games Browser 4 - деинсталируйте.
Social2Search - если сами не ставили, то тоже.
3) Сделайте свежий образ автозапуска uVS.
1. Карантин от uVs загрузил
2. Образ от uVS: http://www6.zippyshare.com/v/Am9eWxd7/file.html
3. Названные программы деинсталировал.
Малая проблема: Social2Search из 'Пуск -> Программы' ушел, но остался в 'Панель управления -> Программы и компоненты'. Оттуда удаляться не хочет
На Рабочем столе появился ярлык 'Continue Last version Installation'; ссылается на 'D:\Users\Владимир\AppData\Local\Temp\ICReinstall_ 1B33.tmp.exe /chnl=lv_nochpc "/productTitle=Last version" /RR'
Удалять пока не пробовал - не ваше ли это.
Почтовик Mozilla Thunderbird запускается, но принимать/отправлять почту не хочет. При запуске пишет:
- - - - -Добавлено - - - - -live.mozillamessaging.com использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат. Код ошибки: <a id="errorCode" title="SEC_ERROR_UNKNOWN_ISSUER">SEC_ERROR_UNKNOWN _ISSUER</a>
Это может быть проблемой с конфигурацией сервера или же кто-то пытается подменить нужный вам сервер другим.
Если в прошлом вы успешно соединялись с этим сервером, то, возможно, эта ошибка является временной. Попробуйте зайти позже.
Или же вы можете добавить исключение…
В 'Пуск -> Программы' обнаружилась папка 'Social2S Browser Enhancer'. В ней 'Settings', 'SignIn with Twitter', 'Social2Search Website'. Это тоже не мое.
1) WeatherChickn, Body Text Feathering, InterHop, groover, IconRunner version 1.0, Caster, hd task - вам эти эти программы знакомы? Если нет, то деинсталируйте (если получится).
2) Java 7 Update 55, Java 8 Update 91 (64-bit), Java 8 Update 92, Java(TM) 6 Update 25 и т.д. - удалите старые версии Java. Если она вам нужна, то скачайте и установите свежую.
3) Выполните скрипт в uVS и пришлите карантин
4) - сделайте лог Check Browsers' LNK by Dragokas & regist.Код:;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG dirzooex D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\SEJHEB.DLL bl 5007882C085704C841EEF1358ED3DFD3 258560 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\SEJHEB.DLL zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\SEJHEB.EXE bl 67D41C7FD0D61B89163F9F6241712FF5 112128 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\SEJHEB.EXE dirzooex D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\AZIGCWIG zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\AZIGCWIG\TUAKYA.DIN bl 39EBD75355A091D6ABD8B966224E3D9F 218112 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\AZIGCWIG\TUAKYA.DIN zoo %SystemDrive%\PROGRAM FILES (X86)\WEATHERCHICKN\WEATHERCHICKN.EXE bl 27E270E6DFCEB7304B26B6781EABA149 235520 delall %SystemDrive%\PROGRAM FILES (X86)\WEATHERCHICKN\WEATHERCHICKN.EXE zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\HEMKAJDOA.EXE bl EBD866E616DCFA6488D785F22EBF812D 170496 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\HEMKAJDOA\HEMKAJDOA.EXE zoo %Sys32%\DRIVERS\BSDPF64.SYS bl 823BB84699249EA5571454F36458A723 27456 delall %Sys32%\DRIVERS\BSDPF64.SYS zoo %Sys32%\DRIVERS\BSDPR64.SYS bl D68500910C485EE87A26C064DA7AC4CE 26944 delall %Sys32%\DRIVERS\BSDPR64.SYS zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\AZIGCWIG\GEESWU.EXE bl 91599698948DA7064E292340B102C3A0 121344 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\AZIGCWIG\GEESWU.EXE dirzooex D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\VDI\SHARED\PRODUCT UPDATER zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\VDI\SHARED\PRODUCT UPDATER\MONHOST.EXE bl A1D608D25A58A5C7F5382F8AB9C68683 506368 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\VDI\SHARED\PRODUCT UPDATER\MONHOST.EXE dirzooex %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D zoo %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D\KNS990A.TMP bl 56F95F475668C525B061654D6FC11D75 668672 delall %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D\KNS990A.TMP uidel C:\Windows\2cef2056c5411cf127ea3d35924191ba.exe zoo D:\USERS\ВЛАДИМИР\APPDATA\LOCAL\TEMP\ICREINSTALL_1B33.TMP.EXE bl E988190940B7C63E20814B462C693370 935102 delall D:\USERS\ВЛАДИМИР\APPDATA\LOCAL\TEMP\ICREINSTALL_1B33.TMP.EXE dirzooex %SystemDrive%\PROGRAM FILES (X86)\INTERHOP zoo %SystemDrive%\PROGRAM FILES (X86)\INTERHOP\INTERHOP.EXE bl A3F2784F191A2AB08209E32C9C8A92CC 159232 delall %SystemDrive%\PROGRAM FILES (X86)\INTERHOP\INTERHOP.EXE dirzooex %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO zoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\I_NETWORK.EXE bl A097EC71382B946A2DD7C86A18682B17 257536 delall %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\I_NETWORK.EXE delall %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.EXE zoo D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\VDI\SHARED\PRODUCT UPDATER\PRODUPD.EXE bl C0EB28DDE9E68A1B29D0168B56E0F87B 599040 delall D:\USERS\ВЛАДИМИР\APPDATA\ROAMING\VDI\SHARED\PRODUCT UPDATER\PRODUPD.EXE zoo %Sys32%\DRIVERS\03AA87B55E8981C7F0809BF360BA74F9.SYS bl 2B14F4F150CB30D58AACEF5F75158753 57424 delall %Sys32%\DRIVERS\03AA87B55E8981C7F0809BF360BA74F9.SYS zoo %SystemDrive%\PROGRAM FILES (X86)\CLERACK_\GRSHLP.DLL ; Java(TM) 6 Update 25 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet czoo restart
5) Сделайте свежий лог uVS.
1. Карантин от uVs загрузил
2. Образ от uVS: http://www4.zippyshare.com/v/Ifs9gVeE/file.html
3. Лог 'Check Browsers' LNK by Dragokas & regist' прилагаю
4.
- Body Text Feathering - успешно
- InterHop - при деинсталяции Windows предлагает выполнить C:\Windows\Installer\1c546dd.msi; выполнять не стал - больно имя подозрительное
- Остальные - Windows сказала, что удалять нечего, и просто удалила из списка установленных программ (в Панели управления)
5. Названные Java удалил.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Выполните скрипт в uVSКод:D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firеfoх (2).lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firеfoх.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\oнлайн помoщь по яндекс.бару для firefоx.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\!Играть в Спарту.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MoneyBot.exe.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\!Играть в War Thunder.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\онлайн помощь по яндекс.бару для firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Social2S Browser Enhancer\Social2Search Website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Social2S Browser Enhancer\Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Social2S Browser Enhancer\SignIn with Twitter.lnk
- Сделайте лог полного сканирования MBAM.Код:;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D\KNS60E1.TMP bl 52069D78FA8F1E91EBAC2922145B12EE 696320 delall %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D\KNS60E1.TMP delref %Sys32%\DRIVERS\03AA87B55E8981C7F0809BF360BA74F9.SYS del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SOCIAL2S BROWSER ENHANCER\SOCIAL2SEARCH WEBSITE.LNK deldir %SystemDrive%\PROGRAM FILES (X86)\E8713860-1476808763-11E1-9BF7-C86000E0284D\ deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SOCIAL2S BROWSER ENHANCER\ deldir %SystemDrive%\PROGRAM FILES (X86)\INTERHOP\ czoo restart
1. Карантин от uVS загрузил (MD5: f3ced9ce6957c6a2b14b1d1a0a4d150e)
2. Логи прилагаю
Удалите в MBAM всё найденное.
Что с проблемой?
Все отлично! Огромное Спасибо!
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Сделано.
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 119
- В ходе лечения обнаружены вредоносные программы:
- \acronisintel.exe._ebd4f1c94005c55271c28fbdfa2c7e3 09e48277e - Trojan.Win32.Agentb.btcf
- \bmppaltvr.exe._ebd4f1c94005c55271c28fbdfa2c7e309e 48277e - Trojan.Win32.Agentb.btcf
- \ca9c1a05406ef7ea5fef1481b52cfffc.exe._d817ee06837 f254e49efdf205283387964ae86fd - not-a-virus:AdWare.Win64.Agent.lue
- c:\program files (x86)\acronis\acronisintel.exe - Trojan.Win32.Agentb.btcf
- c:\program files (x86)\e8713860-1476549521-11e1-9bf7-c86000e0284d\uninstall.exe - not-a-virus:AdWare.Win32.Vopak.bypa
- c:\program files (x86)\e8713860-1476549521-11e1-9bf7-c86000e0284d\vnskb7bd.tmp - not-a-virus:AdWare.Win32.Vopak.byop
- c:\program files (x86)\ghuwule\chrome_elf.dll - Trojan.Win32.Agentb.btfp
- c:\program files (x86)\kuaizip\x64\kuaizipdrive.sys - not-a-virus:NetTool.Win64.NetFilter.qw
- c:\program files (x86)\weatherchickn\weatherchickn.exe - not-a-virus:AdWare.Win32.ConvertAd.bllf
- c:\program files\spacesoundpro\uninstaller.exe - HEUR:Trojan.Win32.Generic
- c:\programdata\networkpacketmanitor\nettrans.exe - not-a-virus:NetTool.Win32.Agent.or
- \distrпочта.exe._ebd4f1c94005c55271c28fbdfa2c7e309 e48277e - Trojan.Win32.Agentb.btcf
- d:\users\владимир\appdata\roaming\hpsewil\hpsewils rv2.exe - not-a-virus:HEUR:AdWare.Win32.Hpdefender.gen
- d:\users\владимир\appdata\roaming\hpsewil\sewilsta rter2.exe - not-a-virus:HEUR:AdWare.Win32.Hpdefender.gen
- d:\users\владимир\appdata\roaming\hpsewil\uninstal ler.exe - not-a-virus:AdWare.Win32.AdAgent.afa
- d:\users\владимир\appdata\roaming\mydesktop\linkme .exe - not-a-virus:AdWare.Win32.Agent.jleq
- \googlemicrosoftvisualstudio.exe._ebd4f1c94005c552 71c28fbdfa2c7e309e48277e - Trojan.Win32.Agentb.btcf
- \hdtask.exe._1e3a5e1d8aa50ec3c2dcde9635f932f1ebf48 4be - not-a-virus:AdWare.Win32.Agent.xxcxzt ( AVAST4: Win32:Malware-gen )
- \icreinstall_1b33.tmp.exe._d72b6122d40d7b8042e03a8 599291bfaae69ec81 - not-a-virus:Downloader.Win32.InstallMonster.fpfh
- \inteladobe.exe._ebd4f1c94005c55271c28fbdfa2c7e309 e48277e - Trojan.Win32.Agentb.btcf
- \interhop.exe._1eed1dc09b71b9d342ef64b5e92ad087103 d6bc0 - not-a-virus:AdWare.Win32.ELEX.aan
- \manager.exe._576c043c04701c81f0410019dbeb371df2f3 23c3 - not-a-virus:AdWare.Win32.Agent.kbtm
- \moneybot.exe._aebc2b48cd08d93ffa46cec618f530c5833 e0e2b - not-a-virus:AdWare.Win32.Vitruvian.w
- \monhost.exe._8791b288662480d3872840bfa9d8dab700f3 e491 - HEUR:Trojan.Win32.Generic
- \sejheb.exe._d9b362a826f7372c79b8ed3ccb1fa19b819a2 939 - Trojan.Win32.Agent.ijsk ( BitDefender: Gen:Trojan.Heur.JP.gCW@aGSDvPbi )
- \traystatusutorrent.exe._ebd4f1c94005c55271c28fbdf a2c7e309e48277e - Trojan.Win32.Agentb.btcf
- \uninstall.exe._572dfa1d0820c23e83025e6ec6569a34c9 d2a77c - not-a-virus:AdWare.Win32.Vopak.bzpi
- \vnsn1c4a.tmp._8fac5967079d65ff5972d02989ae2ac6550 189bf - not-a-virus:AdWare.Win32.Vopak.bznw
- \weatherchickn.exe._815e6d0b4affdc8531df3e3e71085c 3f1a16e843 - not-a-virus:AdWare.Win32.ConvertAd.bllf
- \xpack1014_ru.1476456862.exe._3a1f5562d2dba102f9d2 32cb0312ae55ede3f04e - HEUR:Trojan-Downloader.Win32.Generic
- \паролиигры.exe._ebd4f1c94005c55271c28fbdfa2c7e309 e48277e - Trojan.Win32.Agentb.btcf
- \петроэлектросбытьuolef.exe._ebd4f1c94005c55271c28 fbdfa2c7e309e48277e - Trojan.Win32.Agentb.btcf
- \03aa87b55e8981c7f0809bf360ba74f9.sys._3f1acc31540 6cd89e4cecd753bfac5b50b69d47f - Trojan.Win64.Autorun.a
- \2cef2056c5411cf127ea3d35924191ba.exe._1e9e9243348 5407d14358d202e711789559c44e8 - not-a-virus:AdWare.NSIS.Agent.iv
Уважаемый(ая) TirasVM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
