поймал вирус http://spacesearch.ru/?

[megaeg]

Здравствуйте, у меня проблема. Купил планшет на операционной системе windows 8.1. Не установив антивирус я устанавливал нетфримворк и видимо после него и залетел ко мне вирус.  Постоянно устанавливаются (smartweb,gamesdesctop,и ещё куча хлама в интернт эксплорере нет возможности сменить стартовую страницу ,она всегда [удалено]. Чистку делал Dr.Web CureIt! ,но видимо не все он смог удалить. Спасибо и надеюсь на вашу профессиональную помощь.

С Уважением, Егор.

CollectionLog-2015.06.13-23.36.zip

Изменено 14 июня, 2015 пользователем thyrex

[thyrex]

Логи переделать обычной, а не полиморфной версией Autologger

[megaeg]

Извините.

Спасибо.

Переделал.

CollectionLog-2015.06.14-13.21.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\z\appdata\local\kometa\kometaup.exe','');
QuarantineFile('C:\Users\z\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','');
QuarantineFile('C:\Users\z\AppData\Roaming\AppHelper\CinemaPlus_c-9vbf45f0b37738484c889e966e95c83518\cinemaplus_c-9v_notification_service.exe','');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Users\z\AppData\Roaming\AppHelper\CinemaPlus_c-9vbf45f0b37738484c889e966e95c83518\cinemaplus_c-9v_notification_service.exe','32');
DeleteFile('C:\WINDOWS\Tasks\cinemaplus_c-9v_notification_servicebf45f0b37738484c889e966e95c83518.job','32');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\WINDOWS\system32\Tasks\cinemaplus_c-9v_notification_servicebf45f0b37738484c889e966e95c83518','32');
DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
DeleteFile('C:\WINDOWS\system32\Tasks\MaxComputerCleaner_Start','32');
DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Users\z\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\z\appdata\local\kometa\kometaup.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[megaeg]

подскажите пожалуйста. Где найти,узнать номер KLAN?

[thyrex]

 

 

Где найти,узнать номер KLAN?

В теме письма, полученного как ответ из вирлаба

[megaeg]

Вроде бы всё прошло.

CollectionLog-2015.06.15-22.51.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[megaeg]

Выполнил.Прикрепил.

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC&q={searchTerms}
HKU\S-1-5-21-3309572360-2987431842-2379304809-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1433968194&z=9d647f280ac731f9d39b972g4z9c7cbt8q9bdg2b1t&from=face&uid=3219913727_198264_80D427EC&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434210060&z=48e98bdb1d9a18f86b4b63dg7z6c9z5o5g9eeedw1q&from=cmi&uid=3219913727_198264_80D427EC&q={searchTerms}
DefaultPrefix: => http://spacesearch.ru/?ri=1&rsid=6c7e620cad340ae8265fa5285f258e14&q= <==== ATTENTION
2015-06-13 18:51 - 2015-06-13 18:51 - 00613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsyF364.tmp
2015-06-13 18:45 - 2015-06-13 18:45 - 00000000 ____D C:\Users\z\SupTab
2015-06-12 13:32 - 2015-06-12 13:32 - 00613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsq92E.tmp
2015-06-12 12:40 - 2015-06-12 12:40 - 00000000 ____D C:\Users\z\AppData\Local\Windesk_Winsearch
2015-06-11 08:23 - 2015-06-11 08:23 - 00613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsr2F67.tmp
2015-06-11 08:23 - 2015-06-11 08:23 - 00000000 __SHD C:\Users\z\AppData\Roaming\AnyProtectEx
2015-06-11 02:07 - 2015-06-11 02:07 - 00000000 ____D C:\Users\z\AppData\Local\Max_Computer_Cleaner
2015-06-10 23:30 - 2015-06-13 23:06 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-06-10 23:30 - 2015-06-13 21:22 - 00000004 _____ C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
2015-06-10 23:30 - 2015-06-10 23:36 - 00000000 ____D C:\Users\z\AppData\Local\Crossbrowse
2015-06-10 23:30 - 2015-06-10 23:30 - 00000000 ____D C:\Users\z\AppData\Roaming\AppHelper
2015-06-10 23:30 - 2015-06-10 23:30 - 00000000 ____D C:\Users\z\AppData\Local\globalUpdate
2015-06-10 23:30 - 2015-06-10 23:30 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-10 23:30 - 2015-06-10 23:30 - 00000000 ____D C:\Program Files\globalUpdate
2015-06-10 22:57 - 2015-06-11 01:04 - 00030392 _____ (Tencent) C:\WINDOWS\system32\Drivers\TS888.sys
2015-06-10 22:35 - 2015-06-10 22:35 - 00000000 ____D C:\ProgramData\TXQMPC
2015-06-10 22:28 - 2015-06-10 22:28 - 00000000 ____D C:\Users\z\AppData\Roaming\OpenCandy
2015-06-10 22:09 - 2015-06-10 23:13 - 00000000 ____D C:\Users\z\AppData\Roaming\Tencent
2015-06-10 22:09 - 2015-06-10 22:35 - 00000000 ____D C:\ProgramData\Tencent
2015-06-10 22:08 - 2015-06-11 23:35 - 00000000 ____D C:\Program Files\Application Assistance
2015-06-10 22:08 - 2015-06-10 22:16 - 00000000 ____D C:\Users\z\AppData\Local\Kometa
2015-05-18 07:01 - 2015-05-18 07:01 - 00000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-06-14 00:20 - 2015-06-14 00:20 - 0613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsk1717.tmp
2015-06-12 13:32 - 2015-06-12 13:32 - 0613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsq92E.tmp
2015-06-11 08:23 - 2015-06-11 08:23 - 0613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsr2F67.tmp
2015-06-13 18:51 - 2015-06-13 18:51 - 0613255 _____ (CMI Limited) C:\Users\z\AppData\Local\nsyF364.tmp
Task: {B5C5191F-63AB-4809-A1D6-3E98668F62AF} - \MaxComputerCleaner_Start No Task File <==== ATTENTION
Task: {E50071EB-E564-48D0-91AE-25F1E0FDAF62} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Hosts:
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

   

   

• Обратите внимание, что компьютер будет перезагружен.

   

   

[megaeg]

Сделал.

Fixlog.txt

[thyrex]

Проблема решена?

[megaeg]

добрый день. Да!!!!! Всё хорошо.Спасибо за Ваш труд. Как я могу проявить свою благодарность?