shar Опубликовано 15 июня, 2015 Share Опубликовано 15 июня, 2015 Здравствуйте! Помогите справиться с аналогичной ситуацией. Пыталась решить проблему сама, но,к сожалению, увы). Сообщение от модератора Mark D. Pearlstone Перемещено из темы FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 15 июня, 2015 Share Опубликовано 15 июня, 2015 Порядок оформления запроса о помощи 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 16 июня, 2015 Автор Share Опубликовано 16 июня, 2015 Здравствуйте. На компьютере непонятно каким образом установилось порядка десяти программ, таких, как Cinema-plus, I0bit, Crossbrowse и прочих. Ярлыки всех браузеров были переименованы. Антивирус Касперского выявил порядка сорока вирусов. Была предпринята попытка справиться самостоятельно, установленные программы деинсталлированы, но при попытке открыть браузер вновь появляются окна с рекламой, куча других непонятных программ загружаются снова. Пожалуйста, помогите справиться с этой проблемой. CollectionLog-2015.06.15-14.58.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 16 июня, 2015 Автор Share Опубликовано 16 июня, 2015 С моим сообщением снова что-нибудь не так? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 июня, 2015 Share Опубликовано 16 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp'); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp',''); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7','64'); DeleteFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 17 июня, 2015 Автор Share Опубликовано 17 июня, 2015 Инструкции выполнены. Ответ из лаборатории Касперского: [KLAN-2877102982] Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.hnshc51a.tmp,nswa593.tmpПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.kometaup.exeВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского Файлы прилагаю. ClearLNK-17.06.2015_08-41.log CollectionLog-2015.06.17-08.55.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июня, 2015 Share Опубликовано 17 июня, 2015 Сделайте новые логи Farbar Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 17 июня, 2015 Автор Share Опубликовано 17 июня, 2015 Процесс подзавис что-то... frst.txt почему-то не могу загрузить Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июня, 2015 Share Опубликовано 17 июня, 2015 frst.txt почему-то не могу загрузить заархивируйте Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 Размер незаархивированного файла 57kB, заархивированного - 13 Kb... Выбираю файл, нажимаю "загрузить", файл пропадает... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Выложите на rghost.ru 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 http://rghost.ru/private/8cKbl45B5/cc1dcf83d63fc18a20b7f2b3b533f134 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_284] => [X] HKLM-x32\...\Run: [gmsd_ru_290] => [X] Startup: C:\Users\Хворова_ВА\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pandion.lnk [2013-02-18] ShortcutTarget: Pandion.lnk -> C:\Users\a64.ndubenskaya\AppData\Local\Pandion\Application\pandion.exe (No File) HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.depo.ru/?utm_source=homepage&utm_medium=homepage&utm_campaign=homepage; HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp Toolbar: HKU\S-1-5-21-2468392722-1395747204-1971261711-741278 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] CHR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] OPR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] OPR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] 2015-06-15 11:20 - 2015-06-15 11:20 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\Obnovi Soft 2015-06-11 09:18 - 2015-06-11 09:18 - 00000000 ____D C:\Users\Администратор\AppData\Local\Crossbrowse 2015-06-11 08:57 - 2015-06-11 08:57 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsm3438.tmp 2015-06-11 08:56 - 2015-06-11 09:04 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\AppHelper 2015-06-10 16:00 - 2015-06-10 16:00 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsf686F.tmp 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 __SHD C:\Users\a64.ndubenskaya\AppData\Roaming\AnyProtectEx 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\gmsd_ru_284 2015-06-10 15:59 - 2015-06-11 12:33 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\globalUpdate 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Program Files (x86)\globalUpdate 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\Хворова_ВА\AppData\Local\Crossbrowse 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Crossbrowse 2015-06-10 15:48 - 2015-06-10 15:48 - 00001081 _____ C:\Users\a64.ndubenskaya\Desktop\Continue Live Installation.lnk 2015-06-10 15:31 - 2015-06-17 08:23 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Kometa 2015-06-10 15:30 - 2015-06-11 09:01 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Amigo C:\Users\a64.ndubenskaya\AppData\Local\Temp\2766.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5420.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5803.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5829.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5843.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\6571.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\AmigoDistrib.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\beddjjbhca.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\iobitdownloader_installcube.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\kometa_vd.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\MailRuUpdater.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mytmpinstaller.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\qweee.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\Пушкин Александр Сказка о .exe C:\Users\Администратор\AppData\Local\Temp\1572.exe C:\Users\Администратор\AppData\Local\Temp\1734.exe C:\Users\Администратор\AppData\Local\Temp\1974.exe C:\Users\Администратор\AppData\Local\Temp\2114.exe C:\Users\Администратор\AppData\Local\Temp\2960.exe C:\Users\Администратор\AppData\Local\Temp\3117.exe C:\Users\Администратор\AppData\Local\Temp\3620.exe C:\Users\Администратор\AppData\Local\Temp\4018.exe C:\Users\Администратор\AppData\Local\Temp\4488.exe C:\Users\Администратор\AppData\Local\Temp\6012.exe C:\Users\Администратор\AppData\Local\Temp\6691.exe C:\Users\Администратор\AppData\Local\Temp\6701.exe C:\Users\Администратор\AppData\Local\Temp\6708.exe C:\Users\Администратор\AppData\Local\Temp\800.exe C:\Users\Администратор\AppData\Local\Temp\8235.exe C:\Users\Администратор\AppData\Local\Temp\8800.exe C:\Users\Администратор\AppData\Local\Temp\beddjjbhca.exe C:\Users\Администратор\AppData\Local\Temp\mytmpinstaller.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shar Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 Готово. Попробовала запустить браузер, снова непонятные окна.. Посмотрела свойства ярлыка (эксплорера), вот такая ссылка: C:\Users\a64.ndubenskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Проблема только в IE? 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти