shar Опубликовано 15 июня, 2015 Опубликовано 15 июня, 2015 Здравствуйте! Помогите справиться с аналогичной ситуацией. Пыталась решить проблему сама, но,к сожалению, увы). Сообщение от модератора Mark D. Pearlstone Перемещено из темы FRST.txt Addition.txt
Mark D. Pearlstone Опубликовано 15 июня, 2015 Опубликовано 15 июня, 2015 Порядок оформления запроса о помощи 1
shar Опубликовано 16 июня, 2015 Автор Опубликовано 16 июня, 2015 Здравствуйте. На компьютере непонятно каким образом установилось порядка десяти программ, таких, как Cinema-plus, I0bit, Crossbrowse и прочих. Ярлыки всех браузеров были переименованы. Антивирус Касперского выявил порядка сорока вирусов. Была предпринята попытка справиться самостоятельно, установленные программы деинсталлированы, но при попытке открыть браузер вновь появляются окна с рекламой, куча других непонятных программ загружаются снова. Пожалуйста, помогите справиться с этой проблемой. CollectionLog-2015.06.15-14.58.zip
shar Опубликовано 16 июня, 2015 Автор Опубликовано 16 июня, 2015 С моим сообщением снова что-нибудь не так?
thyrex Опубликовано 16 июня, 2015 Опубликовано 16 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp'); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp',''); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7','64'); DeleteFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам 1
shar Опубликовано 17 июня, 2015 Автор Опубликовано 17 июня, 2015 Инструкции выполнены. Ответ из лаборатории Касперского: [KLAN-2877102982] Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.hnshc51a.tmp,nswa593.tmpПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.kometaup.exeВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского Файлы прилагаю. ClearLNK-17.06.2015_08-41.log CollectionLog-2015.06.17-08.55.zip
shar Опубликовано 17 июня, 2015 Автор Опубликовано 17 июня, 2015 Процесс подзавис что-то... frst.txt почему-то не могу загрузить Addition.txt
thyrex Опубликовано 17 июня, 2015 Опубликовано 17 июня, 2015 frst.txt почему-то не могу загрузить заархивируйте
shar Опубликовано 18 июня, 2015 Автор Опубликовано 18 июня, 2015 Размер незаархивированного файла 57kB, заархивированного - 13 Kb... Выбираю файл, нажимаю "загрузить", файл пропадает...
shar Опубликовано 18 июня, 2015 Автор Опубликовано 18 июня, 2015 http://rghost.ru/private/8cKbl45B5/cc1dcf83d63fc18a20b7f2b3b533f134
thyrex Опубликовано 18 июня, 2015 Опубликовано 18 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_284] => [X] HKLM-x32\...\Run: [gmsd_ru_290] => [X] Startup: C:\Users\Хворова_ВА\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pandion.lnk [2013-02-18] ShortcutTarget: Pandion.lnk -> C:\Users\a64.ndubenskaya\AppData\Local\Pandion\Application\pandion.exe (No File) HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.depo.ru/?utm_source=homepage&utm_medium=homepage&utm_campaign=homepage; HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp Toolbar: HKU\S-1-5-21-2468392722-1395747204-1971261711-741278 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] CHR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] OPR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] OPR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] 2015-06-15 11:20 - 2015-06-15 11:20 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\Obnovi Soft 2015-06-11 09:18 - 2015-06-11 09:18 - 00000000 ____D C:\Users\Администратор\AppData\Local\Crossbrowse 2015-06-11 08:57 - 2015-06-11 08:57 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsm3438.tmp 2015-06-11 08:56 - 2015-06-11 09:04 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\AppHelper 2015-06-10 16:00 - 2015-06-10 16:00 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsf686F.tmp 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 __SHD C:\Users\a64.ndubenskaya\AppData\Roaming\AnyProtectEx 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\gmsd_ru_284 2015-06-10 15:59 - 2015-06-11 12:33 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\globalUpdate 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Program Files (x86)\globalUpdate 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\Хворова_ВА\AppData\Local\Crossbrowse 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Crossbrowse 2015-06-10 15:48 - 2015-06-10 15:48 - 00001081 _____ C:\Users\a64.ndubenskaya\Desktop\Continue Live Installation.lnk 2015-06-10 15:31 - 2015-06-17 08:23 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Kometa 2015-06-10 15:30 - 2015-06-11 09:01 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Amigo C:\Users\a64.ndubenskaya\AppData\Local\Temp\2766.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5420.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5803.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5829.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5843.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\6571.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\AmigoDistrib.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\beddjjbhca.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\iobitdownloader_installcube.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\kometa_vd.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\MailRuUpdater.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mytmpinstaller.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\qweee.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\Пушкин Александр Сказка о .exe C:\Users\Администратор\AppData\Local\Temp\1572.exe C:\Users\Администратор\AppData\Local\Temp\1734.exe C:\Users\Администратор\AppData\Local\Temp\1974.exe C:\Users\Администратор\AppData\Local\Temp\2114.exe C:\Users\Администратор\AppData\Local\Temp\2960.exe C:\Users\Администратор\AppData\Local\Temp\3117.exe C:\Users\Администратор\AppData\Local\Temp\3620.exe C:\Users\Администратор\AppData\Local\Temp\4018.exe C:\Users\Администратор\AppData\Local\Temp\4488.exe C:\Users\Администратор\AppData\Local\Temp\6012.exe C:\Users\Администратор\AppData\Local\Temp\6691.exe C:\Users\Администратор\AppData\Local\Temp\6701.exe C:\Users\Администратор\AppData\Local\Temp\6708.exe C:\Users\Администратор\AppData\Local\Temp\800.exe C:\Users\Администратор\AppData\Local\Temp\8235.exe C:\Users\Администратор\AppData\Local\Temp\8800.exe C:\Users\Администратор\AppData\Local\Temp\beddjjbhca.exe C:\Users\Администратор\AppData\Local\Temp\mytmpinstaller.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
shar Опубликовано 18 июня, 2015 Автор Опубликовано 18 июня, 2015 Готово. Попробовала запустить браузер, снова непонятные окна.. Посмотрела свойства ярлыка (эксплорера), вот такая ссылка: C:\Users\a64.ndubenskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar. Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти