Перейти к содержанию
Правила раздела

Очищение компьютера после вмешательства мэйл.ру, амиго и прочее

Mukosei

Автор Mukosei
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Mukosei Новичок

Mukosei

Опубликовано
Опубликовано (изменено)

Добрый вечер!
По собственный глупости столкнулся с напастью под названием "Куча бесполезного софта вмешивающегося в работу системы и браузера by Mail.ru and co". После чего в мою систему загрузились порядка 13 неизвестных программ, которые при удалении сами себя устанавливали через какое-то время. Особенно настойчивым был Crossbrowse, который вслед за своим запуском автоматом загружал "павших товарищей". Так же в бразуере открывался неизвестный сайт при запуске gotut.ru (в настройках Хрома и IE естественно ни намека на него), выскакивала реклама во всех частях страницы и сайт вк не реагировал на ввод текста сообщения, не показывал диалоги а кнопка отправить не давала результатов. Для удаления использовались программы: Revo Uninstaller Pro и virus removal tool от Касперского, который выявил порядка 70 угроз после полной проверки. На протяжении 30 последних минут все спокойно. Но чувствую что это не конец и прошу о помощи, думая что я наверняка не первый. Логи прилагаю!

 

Заранее спасибо

CollectionLog-2015.06.09-00.51.zip

Изменено пользователем Mukosei
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-7.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-6.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-3.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-11.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Кирилл\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
SetServiceStart('innfd_1_10_0_14', 4);
DeleteService('innfd_1_10_0_14');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_14.sys','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\users\Кирилл\appdata\roaming\4c4c4544-1433780303-5a10-8046-b7c04f463032\hnsz19ea.tmp');
DeleteFile('c:\users\Кирилл\appdata\roaming\4c4c4544-1433780303-5a10-8046-b7c04f463032\hnsz19ea.tmp','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Users\Кирилл\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-10.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-11.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-3.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-5.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV08.06\5e33840a-99da-48fa-ba99-315a062c8f7d-7.exe','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-7','64');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-6','64');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-5','64');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-11','64');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-1-7','64');
DeleteFile('C:\WINDOWS\system32\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-1-6','64');
DeleteFile('C:\WINDOWS\system32\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-3','64');
DeleteFile('C:\WINDOWS\Tasks\vs4LATUIeuL8VOXw7Vj.job','64');
DeleteFile('C:\WINDOWS\Tasks\VRAMOVx2GdRZVv7OzEXzf0WywdO.job','64');
DeleteFile('C:\WINDOWS\Tasks\qyIQEgf7.job','64');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','64');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-6.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-5_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-5.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-11.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-1-7.job','64');
DeleteFile('C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-1-6.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-7.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-6.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-5_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-3.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-5.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-11.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-10_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-1-7.job','64');
DeleteFile('C:\WINDOWS\Tasks\5e33840a-99da-48fa-ba99-315a062c8f7d-1-6.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Mukosei Новичок

Mukosei

Опубликовано
  • Автор
Опубликовано

Выполнил интсрукции, логи и отчеты прилагаю

Ответ на email:

 

[KLAN-2848890313]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

browser.bat,
iexplore.bat,
innfd_1_10_0_14.sys,
protectwindowsmanager.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-09.06.2015_10-53.log

CollectionLog-2015.06.09-10.51.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Mukosei Новичок

Mukosei

Опубликовано
  • Автор
Опубликовано (изменено)

Сделано (при запуске программа правда выдавала ошибку, но запустилась) 4a3a5d31c179476ca9efa38c5852a7d9.png

Addition.txt

FRST.txt

Изменено пользователем Mukosei
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1433780782&z=e4c352ff558beb536e68f01g9z6cacfm1b2eam9mem&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1433780782&z=e4c352ff558beb536e68f01g9z6cacfm1b2eam9mem&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
HKU\S-1-5-21-2241980096-802462267-2196400647-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1433780782&z=e4c352ff558beb536e68f01g9z6cacfm1b2eam9mem&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
HKU\S-1-5-21-2241980096-802462267-2196400647-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1433780782&z=e4c352ff558beb536e68f01g9z6cacfm1b2eam9mem&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX
HKU\S-1-5-21-2241980096-802462267-2196400647-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1433780782&z=e4c352ff558beb536e68f01g9z6cacfm1b2eam9mem&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&ts=1433780795&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&ts=1433780795&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> {DA7A0DDA-3EB8-4931-BAED-70903EA1A88A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&ts=1433780795&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&ts=1433780795&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2241980096-802462267-2196400647-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX&ts=1433780795&type=default&q={searchTerms}
DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=b1b0174aa00e3abdf3874f9d57851ced&q= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1433780717&z=cec6c9c1a1645590441cf70g5z4c7c6m4b7ebm5g8c&from=face&uid=TOSHIBAXDT01ACA200_14A7BZ3HSXX14A7BZ3HSX
2015-06-08 21:44 - 2015-06-08 21:44 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsq8C3A.tmp
2015-06-08 21:44 - 2015-06-08 21:44 - 00000000 __SHD C:\Users\Кирилл\AppData\Roaming\AnyProtectEx
2015-06-08 21:43 - 2015-06-08 21:43 - 00001988 _____ C:\WINDOWS\patsearch.bin
2015-06-08 21:43 - 2015-06-08 21:43 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN84_01009.Wdf
2015-06-08 20:35 - 2015-06-09 00:30 - 00000000 ____D C:\Program Files (x86)\94dd5c51-f12c-40bf-be97-25d7888ef6d0
2015-06-08 20:34 - 2015-06-08 20:34 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsvCDEE.tmp
2015-06-08 20:34 - 2015-06-08 20:34 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-06-08 20:33 - 2015-06-09 00:30 - 00000000 ____D C:\Program Files (x86)\CinemaPlus-4.5vV08.06
2015-06-08 20:32 - 2015-06-08 20:37 - 00000000 ____D C:\Program Files (x86)\Crossbrowse
2015-06-08 19:57 - 2015-06-08 19:57 - 00000000 ____D C:\Users\Кирилл\AppData\Local\Windesk_Winsearch
2015-06-08 19:57 - 2015-06-08 19:56 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nscD253.tmp
2015-06-08 19:35 - 2015-06-08 19:35 - 00000000 ____D C:\Users\Кирилл\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2015-06-08 19:32 - 2015-06-08 19:32 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsg70EB.tmp
2015-06-08 19:31 - 2015-06-09 13:31 - 00005532 _____ C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-7.job
2015-06-08 19:27 - 2015-06-08 19:27 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2015-06-08 19:27 - 2015-06-08 19:27 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-08 19:26 - 2015-06-08 19:26 - 00000000 ____D C:\Users\Кирилл\AppData\Local\globalUpdate
2015-06-08 19:26 - 2015-06-08 19:26 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect
2015-06-08 19:26 - 2015-06-08 19:26 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-06-08 19:25 - 2015-06-08 19:25 - 00000000 ____D C:\Users\Gromov\AppData\Local\Crossbrowse
2015-06-08 19:20 - 2014-10-31 13:32 - 00815248 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-06-08 19:19 - 2015-06-08 20:16 - 00000000 ____D C:\Program Files (x86)\Application Assistance
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Кирилл\AppData\Roaming\VRAMOVx2GdRZVv7OzEXzf0WywdO
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Кирилл\AppData\Roaming\vs4LATUIeuL8VOXw7Vj
2015-06-08 19:57 - 2015-06-08 19:56 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nscD253.tmp
2015-06-08 19:32 - 2015-06-08 19:32 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsg70EB.tmp
2015-06-08 21:44 - 2015-06-08 21:44 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsq8C3A.tmp
2015-06-08 20:34 - 2015-06-08 20:34 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsvCDEE.tmp
C:\Users\Кирилл\AppData\Local\Temp\29348F03-CDC8-0362-92E2-EA19805B9EF3.exe
C:\Users\Кирилл\AppData\Local\Temp\3163.exe
C:\Users\Кирилл\AppData\Local\Temp\6438.exe
C:\Users\Кирилл\AppData\Local\Temp\85BC5298-D425-4438-22A8-750B9BA20CBA.dll
C:\Users\Кирилл\AppData\Local\Temp\85BC5298-D425-4438-22A8-750B9BA20CBA.exe
C:\Users\Кирилл\AppData\Local\Temp\9012.exe
Task: {35101B61-3C75-4DD7-BC9B-EB4896A96EAB} - \93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-7 No Task File <==== ATTENTION
Task: {9680FC46-D8CD-479D-9E4F-47A3991405E8} - \Crossbrowse No Task File <==== ATTENTION
Task: {B6B1A3A1-86E7-4A2E-95A2-E954FAFD377D} - \Soft installer No Task File <==== ATTENTION
Task: {D5774826-75B8-4B72-BE6D-2C15EEDE1883} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: C:\WINDOWS\Tasks\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-7.job => C:\Program Files (x86)\Shop and Save Up\93a1f92b-b8f2-42dd-a68f-c810d6fb0dd1-7.exe <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано

Сообщение от модератора Mark D. Pearlstone
Одно из сообщений перенесено в новую тему https://forum.kasperskyclub.ru/index.php?showtopic=46698
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Доминика Тептина
      как собрать офисный компьютер
      Автор Доминика Тептина
      как сделать офисный компьютер
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
×
×
  • Создать...